Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-39352

Vulnerabilidad en la funcionalidad import en el archivo ~/inc/CatchThemesDemoImport.php en el plugin Catch Themes Demo Import de WordPress (CVE-2021-39352)

Tipo: 
Subida sin restricciones de ficheros de tipos peligrosos
Gravedad: 
Media
Fecha publicación : 
21/10/2021
Última modificación: 
27/10/2021
Descripción
El plugin Catch Themes Demo Import de WordPress es vulnerable a una carga de archivos arbitrarios por medio de la funcionalidad import que se encuentra en el archivo ~/inc/CatchThemesDemoImport.php, en versiones hasta la 1.7 incluyéndola, debido a una comprobación insuficiente del tipo de archivo. Esto hace posible que un atacante con privilegios administrativos cargue archivos maliciosos que pueden ser usados para lograr una ejecución de código remota
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:catchplugins:catch_themes_demo_import:*:*:*:*:*:wordpress:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos