Vulnerabilidad en Where I Was, Where I Will Be para WordPress (CVE-2024-5577)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/06/2024
Última modificación:
15/04/2026
Descripción
El complemento Where I Was, Where I Will Be para WordPress es vulnerable a la inclusión remota de archivos en la versión <= 1.1.1 a través del parámetro WIW_HEADER del archivo /system/include/include_user.php. Esto hace posible que atacantes no autenticados incluyan y ejecuten archivos arbitrarios alojados en servidores externos, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código. Esto requiere que enable_url_include se establezca en verdadero para poder explotar, lo cual no suele estar habilitado.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/where-i-was-where-i-will-be/trunk/system/include/include_user.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/68e0f54d-08ec-4e41-ac9b-d72cdde5a724?source=cve
- https://plugins.trac.wordpress.org/browser/where-i-was-where-i-will-be/trunk/system/include/include_user.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/68e0f54d-08ec-4e41-ac9b-d72cdde5a724?source=cve