Vulnerabilidad en el plugin Pods para WordPress (CVE-2014-7957)

Gravedad CVSS v2.0:

MEDIA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

15/01/2015

Última modificación:

12/04/2025

Descripción

Múltiples vulnerabilidades de CSRF en el plugin Pods anterior a 2.5 para WordPress permiten a atacantes remotos secuestrar la autenticación de administradores para solicitudes que (1) realizan ataques de XSS a través del parámetro toggled en una acción toggle en la página de componentes de pods en wp-admin/admin.php, (2) eliminan un pod en una acción de eliminación en la página de pods en wp-admin/admin.php, (3) reconfiguran las configuraciones y datos de pods a través del parámetro pods_reset en la página de las configuraciones de pods en wp-admin/admin.php, (4) desactivan y reconfiguran datos de pods a través del parámetro pods_reset_deactivate en la página de configuraciones de pods en wp-admin/admin.php, (5) eliminan el rol de administración a través del parámetro id en una acción de eliminación en la página de roles y capacidades de los componentes de pods en wp-admin/admin.php, o (6) habilitan rols y capacidades en una acción toggle en la página de componentes de pods en wp-admin/admin.php.

Impacto

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico