Vulnerabilidad en WP ALL Export Pro para WordPress (CVE-2024-7419)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

07/02/2025

Última modificación:

11/02/2025

Descripción

El complemento WP ALL Export Pro para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 1.9.1 incluida a través de los campos de exportación personalizados. Esto se debe a la falta de validación de entrada y de depuración de los datos proporcionados por el usuario. Esto hace posible que atacantes no autenticados inyecten código PHP arbitrario en los campos de formulario que se ejecutan en el servidor durante la exportación, lo que puede provocar un compromiso total del sitio. Como requisito previo, el campo de exportación personalizado debe incluir campos que contengan datos proporcionados por el usuario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto