Vulnerabilidad en improved-user-search-in-backend.php en el plugin backend para WordPress (CVE-2014-5196)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/08/2014
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de CSRF en improved-user-search-in-backend.php en el backend en la búsqueda mejorada de usuarios en el plugin backend anterior a 1.2.5 para WordPress permite a atacantes remotos secuestrar la autenticación de los administradores para solicitudes que inserten secuencias XSS a través del parámetro iusib_meta_fields.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:improved_user_search_in_backend_project:improved_user_search_in_backend:*:-:-:*:-:wordpress:*:* | 1.2.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/60590
- http://wordpress.org/plugins/improved-user-search-in-backend/changelog
- https://security.dxw.com/advisories/csrf-and-xss-in-improved-user-search-allow-execution-of-arbitrary-javascript-in-wordpress-admin-area/
- http://secunia.com/advisories/60590
- http://wordpress.org/plugins/improved-user-search-in-backend/changelog
- https://security.dxw.com/advisories/csrf-and-xss-in-improved-user-search-allow-execution-of-arbitrary-javascript-in-wordpress-admin-area/