Import and export users and customers <= 1.20.4 - Authenticated (Subscriber+) CSV Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Import and export users and customers' en versiones hasta la 1.20.4, que permite la inyección de CSV a usuarios autenticados con rol de suscriptor o superior. Esta vulnerabilidad, catalogada con un CVSS de 8.0, puede comprometer la seguridad de los datos de los usuarios.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la importación de datos desde archivos CSV. Un atacante autenticado puede manipular los archivos CSV para ejecutar comandos maliciosos, afectando así la integridad de la aplicación y los datos de los usuarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder y manipular información sensible, lo que podría llevar a la pérdida de confianza de los usuarios y posibles repercusiones legales. Además, podría comprometer la infraestructura del sitio web.

Vector de explotación

Generalmente, la explotación se realiza mediante la creación de un archivo CSV malicioso que, al ser importado por un usuario autenticado, ejecuta código no autorizado en el sistema, afectando la funcionalidad del sitio.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 1.20.5 o superior. Asimismo, se sugiere revisar los permisos de usuario y restringir el acceso a la funcionalidad de importación solo a roles necesarios.

Señales de detección

Señales de posible explotación incluyen actividad inusual en la importación de archivos CSV, así como cambios inesperados en los datos de los usuarios o en la configuración del plugin.

Alcance afectado

Las versiones del plugin 'Import and export users and customers' hasta la 1.20.4 son las afectadas. Se recomienda a los administradores de sitios que verifiquen la versión instalada y apliquen las actualizaciones necesarias.