Vulnerabilidad en el plugin de WordPress Content Copy Protection & Prevent Image Save (CVE-2021-24333)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
01/06/2021
Última modificación:
07/11/2023
Descripción
El plugin de WordPress Content Copy Protection & Prevent Image Save versiones hasta 1.3, no comprueba un ataque de tipo CSRF al guardar su configuración, no lleva a cabo ninguna comprobación y saneamiento en ellos, permitiendo a atacantes hacer que un administrador conectado ajustar cargas útiles de tipo XSS arbitrarias en ellos
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:content_copy_protection_\&_prevent_image_save_project:content_copy_protection_\&_prevent_image_save:*:*:*:*:*:wordpress:*:* | 1.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://m0ze.ru/exploit/csrf-prevent-content-copy-image-save-v1.3.html
- https://m0ze.ru/vulnerability/%5B2021-03-29%5D-%5BWordPress%5D-%5BCWE-352%5D-Content-Copy-Protection-Prevent-Image-Save-WordPress-Plugin-v1.3.txt
- https://m0ze.ru/vulnerability/%5B2021-03-29%5D-%5BWordPress%5D-%5BCWE-79%5D-Content-Copy-Protection-Prevent-Image-Save-WordPress-Plugin-v1.3.txt
- https://wpscan.com/vulnerability/c722f8d0-f86b-41c2-9f1f-48e475e22864