Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WordPress (CVE-2022-3401)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
28/10/2022
Última modificación:
07/11/2023

Descripción

El tema Bricks para WordPress es vulnerable a la ejecución remota de código debido a que permite a los editores de sitios incluir bloques de código ejecutables en el contenido del sitio web en las versiones 1.2 a 1.5.3. Esto, combinado con la vulnerabilidad de autorización faltante (CVE-2022-3400), hace posible que atacantes autenticados con permisos mínimos, como un suscriptor, puedan editar cualquier página, publicación o plantilla en el sitio web vulnerable de WordPress e inyectar un código de ejecución. bloque que se puede utilizar para lograr la ejecución remota de código.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:bricksbuilder:bricks:*:*:*:*:*:wordpress:*:* 1.2 (incluyendo) 1.5.4 (excluyendo)