Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el parámetro shattr POST en la acción AJAX joomsport_md_load del plugin JoomSport de WordPress (CVE-2021-24384)
Gravedad:
AltaAlta
Publication date: 06/07/2021
Last modified:
09/07/2021
Descripción:
La acción AJAX joomsport_md_load del plugin JoomSport de WordPress versiones anteriores a 5.1.8, registrada tanto para usuarios no autenticados como para usuarios no autenticados, no serializaba la entrada del usuario desde el parámetro shattr POST, conllevando a un problema de inyección de objetos PHP. Aunque el plugin no presenta una cadena de gadgets adecuada para explotar esto, otros plugins instalados podrían, lo que podría conllevar a problemas más graves como RCE
Vulnerabilidad en los controladores AJAX de las funciones motor_load_more, motor_gallery_load_more, motor_quick_view y motor_project_quick_view del tema Motor WordPress (CVE-2021-24375)
Gravedad:
AltaAlta
Publication date: 06/07/2021
Last modified:
09/07/2021
Descripción:
Una falta de autenticación o comprobación en los controladores AJAX de las funciones motor_load_more, motor_gallery_load_more, motor_quick_view y motor_project_quick_view del tema Motor WordPress versiones anteriores a 3.1.0 permite a un atacante no autenticado acceder a archivos arbitrarios en el sistema de archivos del servidor, y ejecutar scripts php arbitrarios encontrados en el sistema de archivos del servidor. No hemos encontrado ninguna vulnerabilidad para la carga de archivos con este tema, por lo que cualquier script que sea ejecutado debe estar ya en el sistema de archivos del servidor

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: