CVE-2021-25052
Button Generator < 2.3.3 - RFI leading to RCE via CSRF
En resumen
El plugin Button Generator para WordPress anterior a la versión 2.3.3 tiene una falla que permite a los atacantes engañar a los administradores para ejecutar archivos maliciosos desde internet, pudiendo tomar control del sitio web.
Detalle técnico
Vulnerabilidad de CSRF (CWE-352) combinada con inclusión de archivo remoto en la página del menú administrativo. Un atacante puede crear una solicitud maliciosa que, cuando la visita un administrador autenticado, hace que el plugin incluya y ejecute archivos PHP arbitrarios a través de protocolos data://, http:// o rutas de archivo directo. Requiere interacción del admin pero resulta en ejecución remota de código con privilegios de WordPress.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Button Generator WordPress plugin before 2.3.3 within the wow-company admin menu page allows to include() arbitrary file with PHP extension (as well as with data:// or http:// protocols), thus leading to CSRF RCE.
Productos afectados
Unknown · Button Generator – easily Button Builder¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →