Fuente base de datos: Wordfence Intelligence

Olive One Click Demo Import <= 1.1.2 - Authenticated (Administrator+) Arbitrary File Upload in olive_one_click_demo_import_save_file

PLUGIN HIGH CVE-2023-29102

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de alta gravedad en el plugin Olive One Click Demo Import, que permite la carga arbitraria de archivos para usuarios autenticados con privilegios de administrador. Esta vulnerabilidad, clasificada con un CVSS de 7.2, podría comprometer la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se encuentra en la función 'olive_one_click_demo_import_save_file', que no valida adecuadamente los archivos subidos, permitiendo a un atacante autenticado cargar archivos maliciosos en el servidor. Esto expone el sistema a riesgos como la ejecución remota de código o la manipulación de datos.

Impacto potencial

Si se explota, esta vulnerabilidad podría permitir a un atacante tomar el control del servidor, lo que podría resultar en la pérdida de datos, compromisos de seguridad y daños a la reputación del negocio. La capacidad de cargar archivos arbitrarios es especialmente crítica, ya que podría facilitar ataques adicionales.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad al autenticarse como administradores y utilizar la funcionalidad de carga de archivos del plugin para subir archivos maliciosos que pueden ser ejecutados posteriormente.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Olive One Click Demo Import a la versión 1.1.2 o superior. Además, se sugiere revisar los permisos de usuario y aplicar controles de seguridad adicionales para la carga de archivos.

Señales de detección

Señales de riesgo incluyen intentos no autorizados de carga de archivos, registros de actividad inusuales en el área de administración y cambios inesperados en los archivos del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.1.2 del plugin Olive One Click Demo Import.

Vulnerabilidades relacionadas

HIGH THEME

ona

Ona < 1.24 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

wplr-sync

Photo Engine (Media Organizer & Lightroom) <= 6.4.9 - Authenticated (Author+) Arbitrary File Upload

HIGH PLUGIN

wpjam-basic

WPJAM Basic <= 6.9.2 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

halfdata-paypal-green-downloads

Green Downloads <= 2.08 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

wishlist-member-x

Wishlist Member <= 3.29.0 - Authenticated (Subscriber+) Arbitrary File Upload

HIGH PLUGIN

unlimited-elements-for-elementor-premium

Unlimited Elements for Elementor (Premium) <= 1.4.72 - Authenticated (Contributor+) Arbitrary File Upload

HIGH THEME

photography

Photography <= 7.7.5 - Authenticated (Editor+) Arbitrary File Upload

HIGH PLUGIN

mobile-app-editor

Mobile App Editor – WordPress to Android App Builder <= 1.3.1 - Authenticated (Editor+) Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto