Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Media File Metadata en WordPress (CVE-2017-6814)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
12/03/2017
Última modificación:
20/04/2025

Descripción

En WordPress en versiones anteriores a 4.7.3, hay XSS autenticada a través de Media File Metadata. Esto es demostrado tanto por (1) mal manejo de la playlist shortcode en la función wp_playlist_shortcode en wp-includes/media.php y (2) mal manejo de de meta información en la función renderTracks en wp-includes/js/mediaelement/wp-playlist.js.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:* 4.7.2 (incluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*