CVE-2021-24721

Loco Translate < 2.5.4 - Authenticated PHP Code Injection

EPSS 0.9%CWE-94

Vexday Risk Score

3Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS —EPSS 0.9%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

08 nov 2021Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

The Loco Translate WordPress plugin before 2.5.4 mishandles data inputs which get saved to a file, which can be renamed to an extension ending in .php, resulting in authenticated "translator" users being able to inject PHP code into files ending with .php in web accessible locations.

Productos afectados

Unknown · Loco Translate

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://wpscan.com/vulnerability/bc7d4774-fce8-4b0b-8015-8ef4c5b02d38