Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los datos de salida de la función wp_die() en WordPress (CVE-2021-39200)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
09/09/2021
Última modificación:
14/12/2021

Descripción

WordPress es un sistema de administración de contenidos gratuito y de código abierto escrito en PHP y emparejado con una base de datos MySQL o MariaDB. En versiones afectadas pueden ser filtrados los datos de salida de la función wp_die() bajo determinadas condiciones, que pueden incluir datos como nonces. Puede entonces ser usado para llevar a cabo acciones en su nombre. Esto ha sido parcheado en WordPress versión 5.8.1, junto con cualquier versión anterior afectada por medio de versiones menores. Se recomienda encarecidamente mantener habilitadas las actualizaciones automáticas para recibir la corrección

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:* 5.2 (incluyendo) 5.8.1 (excluyendo)
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*