WordPress ha publicado un aviso de seguridad sobre dos vulnerabilidades, que permitirían a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) e inyección SQL.
Las vulnerabilidades reportadas, se componen de 1 (una) de severidad “Crítica” y 1 (una) de severidad “Media”. Las cuales se detallan a continuación:
- CVE-2021-25007, vulnerabilidad de severidad crítica, con una puntuación asignada de 9.8. Esta se debe a una falla en el plugin MOLIE de WordPress. El complemento no valida un parámetro de publicación antes de usarlo en una declaración SQL, lo cual permitiría a un atacante realizar inyección SQL.
- CVE-2021-25006, vulnerabilidad de severidad media, con una puntuación asignada de 6.1. Esta se debe a una falla de secuencias de comandos entre sitios, específicamente en el plugin MOLIE de WordPress. El complemento no controla correctamente el parámetro course_id, lo cual permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS).
Las versiones afectadas son:
- MOLIE versión 0.5 y anteriores.
WordPress no ha publicado aún ninguna actualización de seguridad para subsanar dicha vulnerabilidad, pero ha informado que actualmente este plugin ya no se encuentra disponible para su descarga. Para más información acceder a la herramienta de prueba de complementos de WordPress aquí.
Referencias: