Resumen ejecutivo
GiveWP hasta la versión 2.20.2 presenta una vulnerabilidad que permite la creación arbitraria de archivos por usuarios autenticados. Este fallo, catalogado con una severidad media, podría comprometer la seguridad del sitio web.
Fuente base de datos: Wordfence Intelligence
GiveWP <= 2.20.2 - Authenticated Arbitrary File Creation
PLUGIN
MEDIUM
CVE-2022-28700
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en el plugin GiveWP, que permite a los usuarios autenticados crear archivos sin las restricciones adecuadas. Esto puede dar lugar a la carga de archivos maliciosos en el servidor, afectando la integridad del sistema.
Impacto potencial
La explotación de esta vulnerabilidad podría permitir a un atacante autenticado ejecutar código malicioso en el servidor, lo que podría resultar en la pérdida de datos, compromisos de seguridad y daños a la reputación del negocio.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad mediante la autenticación en el sistema y la manipulación de las funciones de carga de archivos del plugin, permitiendo así la creación de archivos no autorizados.
Mitigación recomendada
Actualizar el plugin GiveWP a la versión 2.21.0 o superior. Además, se recomienda revisar los permisos de usuario y aplicar medidas de hardening en la configuración del servidor para prevenir cargas no autorizadas.
Señales de detección
Señales de riesgo incluyen la aparición de archivos sospechosos en el directorio de carga, registros de actividad inusuales de usuarios autenticados y alertas de seguridad en el sistema de monitoreo.
Alcance afectado
Las versiones afectadas son todas las versiones de GiveWP hasta la 2.20.2. Las instalaciones que no han sido actualizadas a la versión 2.21.0 o superior están en riesgo.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
give
GiveWP <= 4.13.1 - Unauthenticated Arbitrary Shortcode Execution
MEDIUM
PLUGIN
give
GiveWP <= 4.13.1 - Cross-Site Request Forgery
HIGH
PLUGIN
give
GiveWP - Donation Plugin and Fundraising Platform <= 4.13.0 - Unauthenticated Stored Cross-Site Scripting via 'name'
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms-Campaign Association
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.10.0 - Missing Authorization to Unauthenticated Forms and Campaigns Disclosure
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.5.0 - Missing Authorization to Donation Update
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.6.0 - Unauthenticated Donor Data Exposure
MEDIUM
PLUGIN
give
GiveWP – Donation Plugin and Fundraising Platform <= 4.5.0 - Authenticated (GiveWP worker+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto