Vulnerabilidad en Woody code snippets – Insert Header Footer Code, AdSense Ads para WordPress (CVE-2024-3105)
Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
15/06/2024
Última modificación:
17/06/2024
Descripción
El complemento Woody code snippets – Insert Header Footer Code, AdSense Ads para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 2.5.0 incluida a través del código corto 'insert_php'. Esto se debe a que el complemento no restringe el uso de la funcionalidad a usuarios autorizados de alto nivel. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, ejecuten código en el servidor.
Impacto
Puntuación base 3.x
9.90
Severidad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/insert-php/trunk/includes/class.plugin.php#L166
- https://plugins.trac.wordpress.org/browser/insert-php/trunk/includes/shortcodes/shortcode-insert-php.php
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3102522%40insert-php&new=3102522%40insert-php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/134ad095-b0a0-4f0f-832d-3e558d4a250a?source=cve