Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad en múltiples temas CMSMasters para WordPress |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Probable |
| Impacto | Integridad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Exotic Software |
| Software afectado |
WordPress Clockstone Theme 1.x Otros temas también són afectados. |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de error de validación de entrada en WordPress. El tema Clockstone y otros temas CMSMasters para WordPress contienen un fallo que se activa cuando la solicitud del usuario pasa a través del script "upload.php" sin ser verificada apropiadamente antes de usarse. Un atacante remoto podría subir archivos arbitrarios en cualquier lugar a través de un navegador y ejecutarlos en el contexto del proceso del servidor web. Esto puede facilitar el acceso no autorizado a la aplicación, y otro tipo de ataques también pueden ser posibles. |
|
Solución |
|
|
En la actualidad, el fabricante ha lanzado un parche, aunque no ha confirmado que aborde esta vulnerabilidad. Recomendamos comprobar periódicamente la web del proveedor para obtener más información sobre la solución que faciliten. |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | BID-56988 |
Recursos adicionales |
|
|
DigiP en Attack-scanner - Aviso de seguridad del investigador original http://www.attack-scanner.com/security/clockstone-and-other-various-cmsmasters-themes-flaw-patched/ OSVDB 88622 - CMSMasters Clockstone Theme for WordPress upload.php Arbitrary File Upload http://osvdb.org/show/osvdb/88622 Secunia Advisory SA51619 http://secunia.com/advisories/51619/ |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-12-31 |