Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-29447

Vulnerabilidad en el análisis de XML en Media Library en Wordpress (CVE-2021-29447)

Tipo: 
Restricción incorrecta de referencia a entida externa XML (XXE)
Gravedad: 
Media
Fecha publicación : 
15/04/2021
Última modificación: 
27/10/2022
Descripción
Wordpress es un CMS de código abierto. Un usuario con la capacidad de cargar archivos (como un Autor) puede explotar un problema de análisis de XML en Media Library conllevando a ataques de tipo XXE. Esto requiere que la instalación de WordPress utilice PHP versión 8. El acceso a archivos internos es posible en un ataque de tipo XXE con éxito. Esto ha sido parcheado en versión WordPress versión 5.7.1, junto con las versiones anteriores afectadas por medio de una versión menor. Se recomienda encarecidamente que mantenga habilitadas las actualizaciones automáticas
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: No hay impacto en la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos