CVE

Vulnerabilidad en Plugin Forminator para WordPress (CVE-2023-4596)

Severidad:
CRÍTICA
Type:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
30/08/2023
Última modificación:
07/11/2023

Descripción

El plugin Forminator para WordPress es vulnerable a la subida de archivos arbitrarios debido a la validación del tipo de archivo que se produce después de que un archivo haya sido subido al servidor en la función "upload_post_image()" en versiones hasta, e incluyendo, la 1.24.6. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede posibilitar la ejecución remota de código.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:incsub:forminator:*:*:*:*:*:wordpress:*:* 1.24.6 (incluyendo)