Vulnerabilidad en el encabezado del plugin Update URI en WordPress (CVE-2021-44223)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/11/2021

Última modificación:

30/11/2021

Descripción

WordPress versiones anteriores a 5.8, carece de soporte para el encabezado del plugin Update URI. Esto facilita a atacantes remotos una ejecución de código arbitrario por medio de un ataque a la cadena de suministro contra instalaciones de WordPress que usen cualquier plugin cuyo slug satisfaga las restricciones de nomenclatura del directorio de plugins de WordPress.org pero que aún no esté presente en dicho directorio

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico