Vulnerability Bulletins |
Vulnerabilidad en múltiples temas CMSMasters para WordPress |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Probable |
| Impact | Integridad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Exotic Software |
| Affected software |
WordPress Clockstone Theme 1.x Otros temas también són afectados. |
Description |
|
|
Se ha descubierto una vulnerabilidad de error de validación de entrada en WordPress. El tema Clockstone y otros temas CMSMasters para WordPress contienen un fallo que se activa cuando la solicitud del usuario pasa a través del script "upload.php" sin ser verificada apropiadamente antes de usarse. Un atacante remoto podría subir archivos arbitrarios en cualquier lugar a través de un navegador y ejecutarlos en el contexto del proceso del servidor web. Esto puede facilitar el acceso no autorizado a la aplicación, y otro tipo de ataques también pueden ser posibles. |
|
Solution |
|
|
En la actualidad, el fabricante ha lanzado un parche, aunque no ha confirmado que aborde esta vulnerabilidad. Recomendamos comprobar periódicamente la web del proveedor para obtener más información sobre la solución que faciliten. |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | BID-56988 |
Other resources |
|
|
DigiP en Attack-scanner - Aviso de seguridad del investigador original http://www.attack-scanner.com/security/clockstone-and-other-various-cmsmasters-themes-flaw-patched/ OSVDB 88622 - CMSMasters Clockstone Theme for WordPress upload.php Arbitrary File Upload http://osvdb.org/show/osvdb/88622 Secunia Advisory SA51619 http://secunia.com/advisories/51619/ |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-12-31 |