Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la Lógica Condicional de los ajustes de Visibilidad Personalizada en el plugin Gutenberg Block Editor Toolkit â€" EditorsKit de WordPress (CVE-2021-24546)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
11/10/2021
Última modificación:
07/11/2023

Descripción

El plugin Gutenberg Block Editor Toolkit â€" EditorsKit de WordPress versiones anteriores a 1.31.6, no sanea y comprueba la Lógica Condicional de los ajustes de Visibilidad Personalizada, permitiendo a usuarios con un rol de colaborador bajo ejecutar código PHP Arbitrario

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:extendify:editorskit:*:*:*:*:*:wordpress:*:* 1.31.6 (excluyendo)


Referencias a soluciones, herramientas e información