| Se han reportado múltiples vulnerabilidades en una gran variedad de complementos para WordPress que permitirían ataques de cross-site scripting (XSS) o el compromiso de un equipo afectado |
|
| Impacto |
| El impacto de esta vulnerabilidad se ha clasificado como CRÍTICO. |
|
| Versiones Afectadas |
Se ven afectados por estas vulnerabilidades los siguiente complementos:
- Recip.ly 1.1.7, versiones anteriores podrían verse afectadas.
- x7Host’s Videox7 UGC 2.5.3.2, versiones anteriores podrían verse afectadas.
- Uploader 1.0.0, versiones anteriores podrían verse afectadas.
- Featured Content 0.0.1, versiones anteriores podrían verse afectadas.
- FCChat Widget 2.1.7, versiones anteriores podrían verse afectadas.
- Conduit Banner 0.2, versiones anteriores podrían verse afectadas.
- WP Publication Archive 2.0.1, versiones anteriores podrían verse afectadas.
- Audio 0.5.1, versiones anteriores podrían verse afectadas.
- RSS Feed Reader 0.1 para WordPress, versiones anteriores podrían verse afectadas.
- WP Featured Post with thumbnail 3.0, versiones anteriores podrían verse afectadas.
- BezahlCode-Generator 1.0, versiones anteriores podrían verse afectadas.
|
| Detalle |
- La falta de validación en el tipo de archivo que se carga permitiría la ejecución arbitraria de código PHP en «Recip.ly»,
- Se ha reportado un vulnerabilidad en «x7Host’s Videox7 UGC» que permitiría realizar un ataque de cross-site scripting (XSS).
- Dos vulnerabilidades en el complemento «Uploader» permitirían realizar un ataque de cross-site scripting (XSS) y comprometer el equipo afectado.
- Vulnerabilidades en «Feature Content», «FCChat Widget», «Conduit Banner», «Audio», «RSS Feed Reader», «WP Featured Post with thumbnail» y «BezahlCode-Generator» permitirían realizar ataques de cross-site scripting (XSS).
- Un vulnerabilidad en «WP Publication Archive» permitiría revelar información sensible.
|
| Recomendaciones |
| En todos los casos se recomienda editar el código fuente para asegurar la correcta validación de los parámetros que correspondan debido a que no existe a la fecha actualizaciones o parches que solucionen los problemas. |
