| Se han reportado múltiples vulnerabilidades en una gran variedad de complementos para WordPress que permitirían ataques de cross-site scripting (XSS) o el compromiso de un equipo afectado |
|
| Impacto |
| El impacto de esta vulnerabilidad se ha clasificado como CRÍTICO. |
|
| Versiones Afectadas |
Se ven afectados por estas vulnerabilidades los siguiente complementos:
- Recip.ly 1.1.7, versiones anteriores podrían verse afectadas.
- x7Host’s Videox7 UGC 2.5.3.2, versiones anteriores podrían verse afectadas.
- Uploader 1.0.0, versiones anteriores podrían verse afectadas.
- Featured Content 0.0.1, versiones anteriores podrían verse afectadas.
- FCChat Widget 2.1.7, versiones anteriores podrían verse afectadas.
- Conduit Banner 0.2, versiones anteriores podrían verse afectadas.
- WP Publication Archive 2.0.1, versiones anteriores podrían verse afectadas.
- Audio 0.5.1, versiones anteriores podrían verse afectadas.
- RSS Feed Reader 0.1 para WordPress, versiones anteriores podrían verse afectadas.
- WP Featured Post with thumbnail 3.0, versiones anteriores podrían verse afectadas.
- BezahlCode-Generator 1.0, versiones anteriores podrían verse afectadas.
|
| Detalle |
- La falta de validación en el tipo de archivo que se carga permitiría la ejecución arbitraria de código PHP en “Recip.ly”,
- Se ha reportado un vulnerabilidad en “x7Host’s Videox7 UGC” que permitiría realizar un ataque de cross-site scripting (XSS).
- Dos vulnerabilidades en el complemento “Uploader” permitirían realizar un ataque de cross-site scripting (XSS) y comprometer el equipo afectado.
- Vulnerabilidades en “Feature Content”, “FCChat Widget”, “Conduit Banner”, “Audio”, “RSS Feed Reader”, “WP Featured Post with thumbnail” y “BezahlCode-Generator” permitirían realizar ataques de cross-site scripting (XSS).
- Un vulnerabilidad en “WP Publication Archive” permitiría revelar información sensible.
|
| Recomendaciones |
| En todos los casos se recomienda editar el código fuente para asegurar la correcta validación de los parámetros que correspondan debido a que no existe a la fecha actualizaciones o parches que solucionen los problemas. |
