Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Photo Gallery Slideshow y Masonry Tiled Gallery para WordPress (CVE-2024-12237)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
03/01/2025
Última modificación:
03/01/2025

Descripción

El complemento Photo Gallery Slideshow & Masonry Tiled Gallery para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 1.0.15 incluida a través de la función rjg_get_youtube_info_justified_gallery_callback. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y se pueden usar para recuperar información limitada de los servicios internos.