Vulnerabilidad en el plugin Splashing Images para WordPress (CVE-2018-6195)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/01/2018
Última modificación:
17/06/2026
Descripción
admin/partials/wp-splashing-admin-main.php en el plugin Splashing Images (wp-splashing-images) en versiones anteriores a la 2.1.1 para WordPress permite que atacantes remotos autenticados (administrador, editor o autor) lleven a cabo ataques de inyección de objetos PHP mediante datos serializados manipulados en el parámetro GET HTTP "session" en wp-admin/upload.php.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:splashing_images_project:splashing_images:*:*:*:*:*:wordpress:*:* | 2.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/146109/WordPress-Splashing-Images-2.1-Cross-Site-Scripting-PHP-Object-Injection.html
- http://seclists.org/fulldisclosure/2018/Jan/91
- https://plugins.trac.wordpress.org/changeset/1807349/wp-splashing-images
- https://wpvulndb.com/vulnerabilities/9015
- http://packetstormsecurity.com/files/146109/WordPress-Splashing-Images-2.1-Cross-Site-Scripting-PHP-Object-Injection.html
- http://seclists.org/fulldisclosure/2018/Jan/91
- https://plugins.trac.wordpress.org/changeset/1807349/wp-splashing-images
- https://wpvulndb.com/vulnerabilities/9015



