Vulnerabilidad en las URL suministradas en los campos sociales de la página de perfil en el plugin Ultimate Member para WordPress (CVE-2022-1209)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
10/05/2022
Última modificación:
08/04/2026
Descripción
El plugin Ultimate Member para WordPress es vulnerable a redireccionamientos abiertos debido a una comprobación insuficiente de las URL suministradas en los campos social de la Página de Perfil, lo que hace posible que atacantes redirijan a víctimas desprevenidas en versiones hasta la 2.3.1 incluyéndola, concediendo a la víctima un clic en un icono social en la página de perfil de un usuario
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ultimatemember:ultimate_member:*:*:*:*:*:wordpress:*:* | 2.3.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/H4de5-7/vulnerabilities/blob/main/Ultimate%20Member%20%3C%3D%202.3.1%20-%20Open%20Redirect.md
- https://github.com/ultimatemember/ultimatemember/issues/989
- https://github.com/ultimatemember/ultimatemember/pull/990
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d638120b-5396-408b-8273-d003ff9dd01d?source=cve
- https://www.wordfence.com/vulnerability-advisories/#CVE-2022-1209
- https://github.com/H4de5-7/vulnerabilities/blob/main/Ultimate%20Member%20%3C%3D%202.3.1%20-%20Open%20Redirect.md
- https://github.com/ultimatemember/ultimatemember/issues/989
- https://github.com/ultimatemember/ultimatemember/pull/990
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d638120b-5396-408b-8273-d003ff9dd01d?source=cve
- https://www.wordfence.com/vulnerability-advisories/#CVE-2022-1209