Vulnerabilidad en Favicon Generator (CLOSED) de WordPress (CVE-2024-7864)
Severidad:
MEDIA
Type:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
13/09/2024
Última modificación:
13/09/2024
Descripción
El complemento Favicon Generator (CLOSED) de WordPress anterior a la versión 2.1 no tiene CSRF ni validación de ruta en la función output_sub_admin_page_0(), lo que permite a los atacantes hacer que los administradores que hayan iniciado sesión eliminen archivos arbitrarios en el servidor.
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA