WordPress: Múltiples vulnerabilidades en complementos

Se han reportado múltiples vulnerabilidades en una gran variedad de complementos para  WordPress que permitirían ataques de cross-site scripting (XSS) o el compromiso de un equipo afectado
Impacto
El impacto de esta vulnerabilidad se ha clasificado como CRÍTICO.
Versiones Afectadas
Se ven afectados por estas vulnerabilidades los siguiente complementos:
  • Recip.ly 1.1.7, versiones anteriores podrían verse afectadas.
  • x7Host’s Videox7 UGC  2.5.3.2, versiones anteriores podrían verse afectadas.
  • Uploader 1.0.0, versiones anteriores podrían verse afectadas.
  • Featured Content 0.0.1, versiones anteriores podrían verse afectadas.
  • FCChat Widget  2.1.7, versiones anteriores podrían verse afectadas.
  • Conduit Banner 0.2, versiones anteriores podrían verse afectadas.
  • WP Publication Archive 2.0.1, versiones anteriores podrían verse afectadas.
  • Audio 0.5.1, versiones anteriores podrían verse afectadas.
  • RSS Feed Reader 0.1 para WordPress, versiones anteriores podrían verse afectadas.
  • WP Featured Post with thumbnail 3.0, versiones anteriores podrían verse afectadas.
  • BezahlCode-Generator 1.0, versiones anteriores podrían verse afectadas.
Detalle
  • La falta de validación en el tipo de archivo que se carga permitiría la ejecución arbitraria de código PHP en “Recip.ly”,
  • Se ha reportado un vulnerabilidad en “x7Host’s Videox7 UGC” que permitiría realizar un ataque de cross-site scripting (XSS).
  • Dos vulnerabilidades en el complemento “Uploader” permitirían realizar un ataque de cross-site scripting (XSS) y comprometer el equipo afectado.
  • Vulnerabilidades en “Feature Content”, “FCChat Widget”, “Conduit Banner”, “Audio”, “RSS Feed Reader”, “WP Featured Post with thumbnail” y “BezahlCode-Generator” permitirían realizar ataques de cross-site scripting (XSS).
  • Un vulnerabilidad en “WP Publication Archive” permitiría revelar información sensible.
Recomendaciones
En todos los casos se recomienda editar el código fuente para asegurar la correcta validación de los parámetros que correspondan debido a que no existe a la fecha actualizaciones o parches que solucionen los problemas.

 

Share

This entry was posted in bugs. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.