Cabecera-v2-web.jpg

Vulnerabilidades en el plugin MOLIE de WordPress


21/03/2022

WordPress ha publicado un aviso de seguridad sobre dos vulnerabilidades, que permitirían a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) e inyección SQL.

Las vulnerabilidades reportadas, se componen de 1 (una) de severidad “Crítica y 1 (una) de severidad “Media”. Las cuales se detallan a continuación:

  • CVE-2021-25007, vulnerabilidad de severidad crítica, con una puntuación asignada de 9.8. Esta se debe a una falla en el plugin MOLIE de WordPress. El complemento no valida un parámetro de publicación antes de usarlo en una declaración SQL, lo cual permitiría a un atacante realizar inyección SQL.
  • CVE-2021-25006, vulnerabilidad de severidad media, con una puntuación asignada de 6.1. Esta se debe a una falla de secuencias de comandos entre sitios, específicamente en el plugin MOLIE de WordPress. El complemento no controla correctamente el parámetro course_id, lo cual permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS).

Las versiones afectadas son:

  • MOLIE versión 0.5 y anteriores.

WordPress no ha publicado aún ninguna actualización de seguridad para subsanar dicha vulnerabilidad, pero ha informado que actualmente este plugin ya no se encuentra disponible para su descarga. Para más información acceder a la herramienta de prueba de complementos de WordPress aquí.

Referencias:



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11