Vulnerabilidad en el plugin yawpp para WordPress (CVE-2014-5182)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
06/08/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades de inyección SQL en el plugin yawpp 1.2 para WordPress permiten a usuarios remotos autenticados con los privilegios de colaborador ejecutar comandos SQL arbitrarios a través de vectores relacionados con (1) admin_functions.php o (2) admin_update.php, tal y como fue demostrado por el parámetro id en la acción update en wp-admin/admin.php.
Impacto
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ostenta:yawpp:1.2:*:*:*:*:wordpress:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://codevigilant.com/disclosure/wp-plugin-yawpp-a1-injection
- http://wordpress.org/plugins/yawpp/changelog/
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=834445%40yawpp&old=824042%40yawpp#file36
- http://codevigilant.com/disclosure/wp-plugin-yawpp-a1-injection
- http://wordpress.org/plugins/yawpp/changelog/
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=834445%40yawpp&old=824042%40yawpp#file36