ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10491
Varias vulnerabilidades en los plugins de WordPress
Actualizado: 07/05/2018
Fecha de detección
?
03/17/2015
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades serias en los plugins y temas de WordPress. Los usuarios malintencionados pueden explotar estas vulnerabilidades para ejecutar o inyectar código arbitrario, eludir la seguridad y leer los archivos locales.

A continuación hay una lista completa de vulnerabilidades

  1. Se encontraron varias vulnerabilidades XSS en los plugins Spider Facebook, Contact Form DB, WooCommerce, WP Media Cleaner, Ninja Forms, WonderPlugin Audio Player, WPML y Google Doc Embedder. Al explotar estas vulnerabilidades, los usuarios malintencionados pueden inyectar secuencias de comandos arbitrarias. Estas vulnerabilidades se pueden explotar de forma remota a través de un vector desconocido relacionado con el panel de administración;

  2. Múltiples vulnerabilidades CSRF se encontraron en Mobile Domain, Image Metadata Cruncher, Acobot Live Chat & Contact Form, CrossSlide jQuery, Easy Social Icons y redirección de complementos. Al explotar estas vulnerabilidades, los usuarios malintencionados pueden secuestrar la autenticación de los administradores. Estas vulnerabilidades se pueden explotar de forma remota a través de un vector desconocido relacionado con el panel de administración;

  3. Vulnerabilidad transversal de directorio se encontró en el tema de temas elegantes Divi. Al explotar esta vulnerabilidad, los usuarios malintencionados pueden leer archivos locales. Esta vulnerabilidad se puede explotar de forma remota a través de un parámetro img especialmente diseñado;

  4. La vulnerabilidad de inyección SQL se encontró en Apptha WordPress Video Gallery, WonderPlugin Audio Player, Spider Event Calendar, WPML y WordPress Survey y Poll plugins y Photocrati theme. Al explotar esta vulnerabilidad, los usuarios maliciosos pueden ejecutar comandos SQL arbitrarios. Esta vulnerabilidad se puede explotar de forma remota a través de vectores relacionados con el panel de administración.

  5. La carga de archivos sin restricciones se encontró en el tema Fusion. Al explotar esta vulnerabilidad, los usuarios malintencionados pueden ejecutar código arbitrario. Esta vulnerabilidad puede explotarse de forma remota a través de vectores no especificados.

  6. Se encontró un manejo inadecuado de las solicitudes y otra vulnerabilidad desconocida en el complemento WPML. Al explotar estas vulnerabilidades se pueden evitar las restricciones de seguridad. Estas vulnerabilidades se pueden explotar de forma remota a través de una solicitud especialmente diseñada.
Productos afectados

Versiones de plugin Spider de Facebook anteriores a 1.0.11
Plugin Mobile Domain versión 1.5.2
Página de redirección plugin versión 1.2
Temas elegantes Divi tema todas las versiones
Versiones del complemento de Google Doc Embedder anteriores a 2.5.19
Image Metadata Cruncher plugin todas las versiones
Contact Form DB plugin versión 2.8.26
Acobot Live Chat y formulario de contacto plugin versión 2.0
Versiones del complemento WooCommerce anteriores a 2.2.11
Versiones del complemento Apptha WordPress Video Gallery anteriores a la 2.8
WordPress Survey y Poll plugin versión 1.1.7
CrossSlide jQuery plugin versión 2.0.5
Versiones de los complementos de Easy Social Icons anteriores a 1.2.3
Versiones de plugin WonderPlugin Audio Player anteriores a 2.1
Fusion tema versión 3.1
Versiones del complemento Ninja Forms anteriores a 2.8.9
Photocrati theme 4 todas las versiones
Versiones de plugin WPML anteriores a 3.1.9

Solución

Actualice a la versión segura o seleccione otro complemento o tema para usar

Impactos
?
RLF 
[?]

CI 
[?]

ACE 
[?]

SB 
[?]
Productos relacionados
WordPress unclassified products
CVE-IDS
?

CVE-2015-2791
CVE-2015-2792
CVE-2015-2314
CVE-2015-2315
CVE-2015-2216
CVE-2015-2218
CVE-2015-2220
CVE-2015-2194
CVE-2015-2195
CVE-2015-2196
CVE-2015-2199
CVE-2015-2084
CVE-2015-2089
CVE-2015-2090
CVE-2015-2065
CVE-2015-2069
CVE-2015-2039
CVE-2015-2040
CVE-2015-1614
CVE-2015-1879
CVE-2015-1579
CVE-2015-1580
CVE-2015-1581
CVE-2015-1582


Enlace al original