← volver
CVE-2021-24174

Database Backups <= 1.2.2.6 - CSRF to Backup Download

EPSS 3.2%CWE-352
En resumen

El plugin Database Backups de WordPress carece de protección contra ataques CSRF, permitiendo que atacantes engañen a usuarios autenticados para realizar acciones no deseadas como crear copias de seguridad, cambiar configuraciones o eliminar respaldos sin consentimiento.

Detalle técnico

Vulnerabilidad CSRF (CWE-352) en el plugin Database Backups ≤1.2.2.6 sin validación de tokens en operaciones que cambian estado. Un atacante puede crear solicitudes maliciosas (GET/POST) que ejecuten generación de respaldos, modificación de configuración o eliminación cuando un administrador autenticado accede a una página comprometida.

Resumen generado y traducido por IA a partir de la descripción oficial.
The Database Backups WordPress plugin through 1.2.2.6 does not have CSRF checks, allowing attackers to make a logged in user unwanted actions, such as generate backups of the database, change the plugin's settings and delete backups.
Productos afectados
Unknown · Database Backups
PoCs públicas encontradas2
cve_referencepacketstormsecurity.com/files/163091/WordPress-Database-Backups-1.2.2.6-Cross-Site-Request-Forgery.htmlno verificadoexploitdbwww.exploit-db.com/exploits/49984no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/163091/WordPress-Database-Backups-1.2.2.6-Cross-Site-Request-Forgery.htmlhttps://wpscan.com/vulnerability/350c3e9a-bcc2-486a-90e6-d1dc13ce1bd5