Gravedad: Alta
Fecha de publicación: Febrero 9,
2021
Última revisión: Febrero 9, 2021
Sistemas Afectados: Plugin NextGen Gallery para WordPress.
- Descripción
Vulnerabilidades críticas que afectan al plugin NextGen Gallery de WordPress.
- Impacto
Vulnerabilidad: CVE-2020-35942
Esta vulnerabilidad se debe a una falla lógica en la función de seguridad “is_authorized_request” de NextGen Gallery, que permite a un atacante, si logra engañar a un administrador para que haga clic a un enlace, enviar solicitudes especialmente diseñadas y realizar varias acciones maliciosas.
Vulnerabilidad: CVE-2020-35943
Esta vulnerabilidad relativa a otra función de seguridad de NextGen Gallery, “validate_ajax_request”. El atacante podría engañar al administrador para que envíe una solicitud pidiendo subir un archivo de imagen, en el que es posible esconder un webshell u otro código ejecutable PHP.
III. Referencia a soluciones, herramientas e información
Actualización de NextGen Gallery 3.5.0, desde el sitio del proveedor.
Fuentes:
- Common Vulnerabilities and Exposures. Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35942
- Common Vulnerabilities and Exposures. Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35943
- CSIRT Chile. 9 de febrero del 2021. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00387-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion
Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124