Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los datos POST en el plugin Anti-Malware Security and Brute-Force Firewall de WordPress (CVE-2021-25101)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/02/2022
Última modificación:
28/02/2022

Descripción

El plugin Anti-Malware Security and Brute-Force Firewall de WordPress versiones anteriores a 4.20.94, no sanea y escapa de los datos POST antes de devolverlos en los atributos de una página de administración, conllevando a un problema de tipo Cross-Site scripting Reflejado. Debido a la presencia de un valor de parámetro específico, disponible para usuarios administradores, esto sólo puede ser explotado por un administrador contra otro usuario administrador

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:anti-malware_security_and_brute-force_firewall_project:anti-malware_security_and_brute-force_firewall:*:*:*:*:*:wordpress:*:* 4.20.94 (excluyendo)


Referencias a soluciones, herramientas e información