Vulnerabilidad en un archivo CSV en el plugin codepress-admin-columns para WordPress (CVE-2019-17661)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/11/2019
Última modificación:
15/10/2024
Descripción
Una inyección CSV en el plugin codepress-admin-columns (también se conoce como Admin Columns) versión 3.4.6 para WordPress, permite a usuarios maliciosos conseguir el control remoto de otras computadoras. Mediante la selección del código de la fórmula como su nombre o apellido, un atacante puede crear un usuario con un nombre que contenga código malicioso. Otros usuarios pueden descargar estos datos como un archivo CSV y corromper su PC abriéndolos en una herramienta como Microsoft Excel. El atacante podría conseguir acceso remoto a la PC del usuario.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:admincolumns:admin_columns:3.4.6:*:*:*:*:wordpress:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página