Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/03/2019
Vulnerabilitat d'execució de codi remota sense autenticació en Wordpress
El fabricant del programari CMS ha publicat un pedaç d'actualització, on indica que soluciona la vulnerabilitat i recomana la seua actualització immediata.Risc: Alt
Per a poder explotar-la es necessita que els comentaris de Wordpress estiguen habilitats, així com que un usuari amb permisos d'administrador estiga iniciant sessió en aqueix moment.
L'operativa seria introduir un enllaç maliciós en un dels comentaris que injecta codi HTML i JS i que en conjunt amb un usuari administrador iniciador de sessió en l'aplicació concediria el control de la mateixa a l'atacant extern.
Sistemes Afectats:Wordpress 5.1.0 i anteriors
Referències:CVE-2019-9787
Solució:Actualitzar a Wordpress 5.1.1
Notes: NoneFont: Hispasec - Una al día