Fuente base de datos: Wordfence Intelligence

Frontend File Manager <= 18.2 - Unauthenticated HTML Injection leading to Spam Emails

PLUGIN HIGH CVE-2021-4350

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección HTML no autenticada en el plugin Frontend File Manager, que podría permitir el envío de correos electrónicos de spam. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 7.2.

Contexto técnico

La vulnerabilidad permite a un atacante inyectar código HTML malicioso en el frontend del plugin sin necesidad de autenticación, lo que puede llevar a la ejecución de scripts no deseados y la generación de correos electrónicos de spam.

Impacto potencial

La explotación de esta vulnerabilidad podría resultar en un aumento de spam enviado desde el servidor comprometido, lo que podría afectar la reputación del dominio y la entrega de correos electrónicos legítimos. Además, podría abrir la puerta a otros ataques más graves.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes específicamente diseñadas que contienen código HTML malicioso, sin necesidad de estar autenticados en el sistema.

Mitigación recomendada

Actualizar el plugin Frontend File Manager a la versión 18.3 o superior para mitigar la vulnerabilidad. Además, se recomienda realizar una revisión de los permisos y configuraciones del plugin para asegurar que no se pueda abusar de su funcionalidad.

Señales de detección

Señales de riesgo incluyen un aumento inusual en el tráfico de correos electrónicos salientes o la detección de patrones de tráfico que indiquen la inyección de código HTML en las solicitudes.

Alcance afectado

Las versiones del plugin Frontend File Manager hasta la 18.2 son vulnerables. La versión 18.3 corrige esta falla.

Vulnerabilidades relacionadas

HIGH PLUGIN

nmedia-user-file-uploader

Frontend File Manager Plugin <= 23.5 - Missing Authorization to Unauthenticated Arbitrary File Sharing via 'file_id' Parameter

HIGH PLUGIN

nmedia-user-file-uploader

Frontend File Manager <= 21.5 - Missing Authorization to Unauthenticated Arbitrary Post Deletion

CRITICAL PLUGIN

nmedia-user-file-uploader

Frontend File Manager <= 18.2 - Unauthenticated Arbitrary File Download

MEDIUM PLUGIN

nmedia-user-file-uploader

Frontend File Manager Plugin <= 18.2 - Unauthenticated Arbitrary Post Deletion

MEDIUM PLUGIN

nmedia-user-file-uploader

Frontend File Manager <= 18.2 - Unauthenticated Post Meta Change

MEDIUM PLUGIN

nmedia-user-file-uploader

Frontend File Manager <= 18.2 - Unauthenticated Content Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto