Vulnerabilidad en WP Ultimate Email Marketer en Wordpress (CVE-2013-3263)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
05/11/2013
Última modificación:
11/04/2025
Descripción
Múltiples vulnerabilidades de XSS en el plugin WP Ultimate Email Marketer 1.1.0 y posiblemente anteriores versiones para Wordpress permite a atacantes remotos inyectar script web o HTML arbitrario a través de (1) parámetro siteurl a campaign/campaignone.php; el parámetro (2) action, (3) campaignname, (4) campaignformat, o (5) emailtemplate a campaign/campaigntwo.php; el (6) parámetro listid a list/edit.php; el parámetro (7) campaignid (8) siteurl a campaign/editcampaign.php; el parámetro (9) campaignid a campaign/selectlistb4send.php; el parámetro (10) campaignid, (11) campaignname, (12) campaignsubject, o (13) selectedcampaigns a campaign/sendCampaign.php; o el parámetro (14) campaignid, (15) campaignname, (16) campaignformat, o (17) action a campaign/updatecampaign.php.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:*:-:*:*:*:wordpress:*:* | 1.1.0 (incluyendo) | |
| cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.0:-:*:*:*:wordpress:*:* | ||
| cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.1:-:*:*:*:wordpress:*:* | ||
| cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.2:-:*:*:*:wordpress:*:* | ||
| cpe:2.3:a:smackcoders:wp_ultimate_email_marketer_plugin:1.0.3:-:*:*:*:wordpress:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página