CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/03/2019

Vulnerabilidad de ejecución de código remota sin autenticación en Wordpress

El fabricante del software CMS ha publicado un parche de actualización donde indica que soluciona la vulnerabilidad y recomienda su actualización inmediata.

Riesgo: Alto

Para poder explotarla se necesita que los comentarios de Wordpress estén habilitados, así como que un usuario con permisos de administrador esté logueado en ese momento.

La operativa sería introducir un enlace malicioso en uno de los comentarios que inyecta código HTML y JS y que en conjunto con un usuario adminstrador logado en la aplicación concedería el control de la misma al atacante externo.

Sistemas Afectados:

Wordpress 5.1.0 y anteriores

Referencias:

CVE-2019-9787

Solución:

Actualizar a Wordpress 5.1.1

Notas: None
Fuente: Hispasec - Una al día

CSIRT-CV