Vulnerabilidad en File Manager Pro para WordPress (CVE-2023-6846)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
05/02/2024
Última modificación:
08/04/2026
Descripción
El complemento File Manager Pro para WordPress es vulnerable a la carga arbitraria de archivos en todas las versiones hasta la 8.3.4 incluida, a través de la función mk_check_filemanager_php_syntax AJAX. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, ejecuten código en el servidor. La versión 8.3.5 introduce una verificación de capacidad que evita que los usuarios inferiores a administrador ejecuten esta función.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:filemanagerpro:file_manager:*:*:*:*:*:wordpress:*:* | 8.3.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gist.github.com/Kun19/046b2b305cac5f2edd38037984c2e8e3
- https://www.wordfence.com/threat-intel/vulnerabilities/id/1e8e0257-a745-495f-a103-c032b95209fc?source=cve
- https://gist.github.com/Kun19/046b2b305cac5f2edd38037984c2e8e3
- https://www.wordfence.com/threat-intel/vulnerabilities/id/1e8e0257-a745-495f-a103-c032b95209fc?source=cve