Vulnerabilidad en Plugin FlyingPress para WordPress (CVE-2022-4948)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/06/2023
Última modificación:
08/04/2026
Descripción
El plugin FlyingPress para WordPress es vulnerable a una omisión de autorización debido a una falta de comprobación en sus acciones "AJAX" en versiones hasta la v3.9.6 inclusive. Esto hace posible que atacantes autenticados, con permisos de nivel de suscriptor y superiores, interactúen con el plugin como si fueran un administrador. Una acción (como por ejemplo "save_config") permite configurar una CDN externa. Esto podría utilizarse para incluir javascript malicioso desde una fuente controlada por el atacante.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:flying-press:flyingpress:*:*:*:*:*:wordpress:*:* | 3.9.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.nintechnet.com/wordpress-flyingpress-plugin-fixed-broken-access-control-vulnerability/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/6d1d541b-7010-4dbf-9b1c-d59c84390065?source=cve
- https://blog.nintechnet.com/wordpress-flyingpress-plugin-fixed-broken-access-control-vulnerability/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/6d1d541b-7010-4dbf-9b1c-d59c84390065?source=cve