Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en InPost para WooCommerce y InPost PL para WordPress (CVE-2024-6500)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/08/2024
Última modificación:
19/08/2024

Descripción

El complemento InPost para WooCommerce y el complemento InPost PL para WordPress son vulnerables al acceso no autorizado y a la eliminación de datos debido a una falta de verificación de capacidad en la función 'parse_request' en todas las versiones hasta la 1.4.0 incluida (para InPost para WooCommerce) así como 1.4.4 (para InPost PL). Esto hace posible que atacantes no autenticados lean y eliminen archivos arbitrarios en servidores Windows. En los servidores Linux, solo se eliminarán los archivos dentro de la instalación de WordPress, pero se podrán leer todos los archivos.