Resumen ejecutivo
Se ha identificado una vulnerabilidad de inyección CSV en el plugin GeoDirectory hasta la versión 2.2.19. Esta falla presenta un riesgo medio, con un CVSS de 4.1, y se ha corregido en la versión 2.2.20.
Fuente base de datos: Wordfence Intelligence
GeoDirectory <= 2.2.19 - CSV Injection
PLUGIN
MEDIUM
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad permite a un atacante inyectar comandos maliciosos a través de archivos CSV generados por el plugin. Esto puede ocurrir cuando los datos no son correctamente validados antes de ser exportados, lo que abre una superficie de ataque a usuarios malintencionados.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que podría permitir a un atacante ejecutar scripts en el entorno del usuario que abra el archivo CSV comprometido, comprometiendo así la seguridad de sus sistemas y datos.
Vector de explotación
Los atacantes suelen explotar esta vulnerabilidad manipulando el contenido de los archivos CSV generados por el plugin, lo que puede llevar a la ejecución de código malicioso en el cliente que abra el archivo.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin GeoDirectory a la versión 2.2.20 o superior. Además, se debe revisar la validación de datos en la exportación de archivos y considerar medidas adicionales de seguridad en la manipulación de archivos.
Señales de detección
Señales de riesgo incluyen la detección de archivos CSV inusuales generados por el plugin o informes de usuarios que experimentan comportamientos extraños al abrir archivos CSV relacionados con GeoDirectory.
Alcance afectado
Las versiones de GeoDirectory hasta la 2.2.19 son vulnerables. Las instalaciones que utilicen estas versiones están en riesgo y deben ser actualizadas.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.8.149 - Cross-Site Request Forgery
MEDIUM
PLUGIN
geodirectory
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.139 - Missing Authorization to Authenticated (Author+) Arbitrary Image Attachment
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.8.119 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
geodirectory
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.97 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Display_name Parameter
HIGH
PLUGIN
geodirectory
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.97 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.3.84 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.3.80 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.3.70 - Missing Authorization via geodirectory_rated()
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto