Vulnerabilidad en File Manager Pro – Filester para WordPress (CVE-2024-7031)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/08/2024
Última modificación:
10/04/2025
Descripción
El complemento File Manager Pro – Filester para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'njt_fs_saveSettingRestrictions' en todas las versiones hasta la 1.8.2 incluida. Esto hace posible que atacantes autenticados, con una función a la que un administrador le haya otorgado permisos, actualicen la configuración del complemento para las restricciones de funciones del usuario, lo que incluye permitir que se carguen tipos de archivos como .php.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ninjateam:filester:*:*:*:*:*:wordpress:*:* | 1.8.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/filester/trunk/includes/File_manager/FileManager.php#L566
- https://plugins.trac.wordpress.org/changeset/3129722/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/aef584bd-60a5-4bf2-b8d3-58e3b45e785e?source=cve
- https://nowotarski.info/wordpress-nonce-authorization/