Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las comprobaciones de nonce en el plugin Compact WP Audio Player de WordPress (CVE-2021-24735)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
18/10/2021
Última modificación:
22/10/2021

Descripción

El plugin Compact WP Audio Player de WordPress versiones anteriores a 1.9.7, no implementa comprobaciones de nonce, que podría permitir a atacantes hacer que un administrador conectado cambie el ajuste "Disable Simultaneous Play" por medio de un ataque de tipo CSRF

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tipsandtricks-hq:compact_wp_audio_player:*:*:*:*:*:wordpress:*:* 1.9.7 (excluyendo)


Referencias a soluciones, herramientas e información