Vulnerabilidad en AnWP Football Leagues para WordPress (CVE-2025-8767)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/08/2025
Última modificación:
12/08/2025
Descripción
El complemento AnWP Football Leagues para WordPress es vulnerable a la inyección de CSV en todas las versiones hasta la 0.16.17 incluida, a través de las funciones «download_csv_players» y «download_csv_games». Esto permite a atacantes autenticados, con acceso de administrador o superior, incrustar información no confiable en archivos CSV exportados, lo que puede provocar la ejecución de código al descargar y abrir estos archivos en un sistema local con una configuración vulnerable.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- http://plugins.trac.wordpress.org/changeset/3342787/football-leagues-by-anwppro/trunk/includes/class-anwpfl-data-port.php
- https://plugins.trac.wordpress.org/browser/football-leagues-by-anwppro/trunk/includes/class-anwpfl-data-port.php#L265
- https://plugins.trac.wordpress.org/browser/football-leagues-by-anwppro/trunk/includes/class-anwpfl-data-port.php#L58
- https://plugins.trac.wordpress.org/browser/football-leagues-by-anwppro/trunk/includes/class-anwpfl-data-port.php#L93
- https://www.wordfence.com/threat-intel/vulnerabilities/id/04676263-cdad-40cd-bb54-61beb727e09d?source=cve