Fuente base de datos: Wordfence Intelligence

WP All Import <= 3.6.7 - Authenticated (Administrator+) Arbitrary Code Execution

PLUGIN CRITICAL CVE-2022-36386

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP All Import, que permite la ejecución arbitraria de código para usuarios autenticados con privilegios de administrador. Esta falla afecta a las versiones hasta la 3.6.7 y fue corregida en la versión 3.6.8.

Contexto técnico

La vulnerabilidad se origina en la forma en que WP All Import maneja las solicitudes de ejecución de código, lo que permite a un atacante con acceso administrativo ejecutar código malicioso en el servidor. Esto representa un vector de ataque significativo, dado que los atacantes pueden aprovecharse de privilegios ya otorgados a usuarios legítimos.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la toma de control total del sitio web afectado, comprometiendo datos sensibles y la integridad del sistema. Esto puede tener repercusiones severas en la reputación del negocio y en la confianza de los usuarios.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes manipuladas a través de la interfaz del plugin, utilizando cuentas de administrador ya comprometidas o mal gestionadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP All Import a la versión 3.6.8 o superior. Además, se sugiere revisar los permisos de usuario y aplicar buenas prácticas de seguridad, como la autenticación de dos factores.

Señales de detección

Señales de riesgo incluyen intentos de ejecución de código no autorizado en el servidor, actividad inusual en las cuentas de administrador y registros de acceso sospechosos relacionados con el plugin.

Alcance afectado

Las versiones de WP All Import hasta la 3.6.7 son vulnerables. Todas las instalaciones que utilicen estas versiones están en riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-all-import

WP All Import <= 4.0.0 - Reflected Cross-Site Scripting via 'filepath'

HIGH PLUGIN

wp-all-import

Import any XML, CSV or Excel File to WordPress (WP All Import) <= 3.9.6 - Authenticated (Administrator+) Remote Code Execution via Conditional Logic

HIGH PLUGIN

wp-all-import

Import any XML, CSV or Excel File to WordPress <= 3.9.3 - Authenticated (Admin+) Limited Unsafe File Upload

LOW PLUGIN

wp-all-import

Advanced Contact form 7 DB <= 2.0.8 & Import any XML, CSV or Excel File to WordPress <= 3.8.0 - Use of Vulnerable Component (PHPExcel)

MEDIUM PLUGIN

wp-all-import

Import any XML or CSV File to WordPress <= 3.7.3 - Cross-Site Request Forgery to Notice Dismissal

HIGH PLUGIN

wp-all-import

Import any XML or CSV File <= 3.7.2 - Authenticated (Admin+) Arbitrary File Upload

MEDIUM PLUGIN

wp-all-import

Import any XML or CSV File to WordPress <= 3.6.8 - Authenticated (Administrator+) Arbitrary File Upload via Path Traversal

MEDIUM PLUGIN

wp-all-import

Import any XML or CSV File to WordPress <= 3.6.8 - Authenticated (Administrator+) Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto