Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WP Delicious – Recipe Plugin for Food Bloggers para WordPress (CVE-2024-7626)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/09/2024
Última modificación:
25/09/2024

Descripción

El complemento WP Delicious – Recipe Plugin for Food Bloggers (anteriormente Delicious Recipes) para WordPress es vulnerable al movimiento y la lectura arbitrarios de archivos debido a una validación insuficiente de la ruta de archivo en la función save_edit_profile_details() en todas las versiones hasta la 1.6.9 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, muevan archivos arbitrarios en el servidor, lo que puede conducir fácilmente a la ejecución remota de código cuando se mueve el archivo correcto (como wp-config.php). Esto también puede conducir a la lectura de archivos arbitrarios que pueden contener información confidencial como wp-config.php.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wpdelicious:wp_delicious:*:*:*:*:*:wordpress:*:* 1.7.0 (excluyendo)