Vulnerabilidad en el parámetro "fts_url" en el plugin Feed Them Social - for Twitter feed, Youtube and more para WordPress (CVE-2022-2437)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
18/07/2022
Última modificación:
05/05/2025
Descripción
El plugin Feed Them Social - for Twitter feed, Youtube and more para WordPress es vulnerable a una deserialización de entradas no confiables por medio del parámetro "fts_url" en versiones hasta la 2.9.8.5 incluyéndola. Esto hace posible que atacantes no autenticados llamen a los archivos usando un envoltorio PHAR que de serializará los datos y llamará a objetos PHP arbitrarios que pueden ser usados para llevar a cabo una variedad de acciones maliciosas concedidas una cadena POP también está presente. También requiere que el atacante tenga éxito en cargar un archivo con la carga útil serializada
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:slickremix:feed_them_social:*:*:*:*:*:wordpress:*:* | 2.9.8.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=2754749%40feed-them-social&new=2754749%40feed-them-social
- https://www.wordfence.com/threat-intel/vulnerabilities/id/50bcea94-b12a-4b31-b0c1-bba834ea9bd0?source=cve
- https://www.wordfence.com/vulnerability-advisories/#CVE-2022-2437
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=2754749%40feed-them-social&new=2754749%40feed-them-social
- https://www.wordfence.com/threat-intel/vulnerabilities/id/50bcea94-b12a-4b31-b0c1-bba834ea9bd0?source=cve
- https://www.wordfence.com/vulnerability-advisories/#CVE-2022-2437