|
Título: WordPress:nueva vulnerabilidad permite ejecución remota de código sin autenticar Publicado por: wolfbcn en 16 Marzo 2019, 02:12 am Una nueva vulnerabilidad, descubierta por el investigador Simon Scannell, en el popular gestor de contenidos (CMS) WordPress, permite la ejecución remota de código sin necesidad de autenticación en versiones anteriores a 5.1.1.
El impacto de la vulnerabilidad, según el autor, permite aprovechar el sistema de comentarios del CMS – característica que viene habilitada por defecto – para combinar un ataque por CSRF y varias configuraciones erróneas en las partes del código encargadas de sanear los inputs del usuario. La combinación de ambos factores permite una ejecución remota de código (RCE). LEER MAS: https://unaaldia.hispasec.com/2019/03/wordpress-nueva-vulnerabilidad-permite-ejecucion-remota-de-codigo-sin-autenticar.html |