Fuente base de datos: Wordfence Intelligence

ICS Calendar <= 10.12.0.2 - Authenticated (Contributor+) Arbitrary File Read and Server-Side Request Forgery (Server-Side Request Forgery (SSRF)) - version 10.12.0.3

PLUGIN HIGH CVE-2023-46784

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin ICS Calendar, que permite la lectura arbitraria de archivos y la realización de solicitudes del lado del servidor para usuarios autenticados con rol de colaborador o superior. Esta vulnerabilidad tiene un alto nivel de severidad con un CVSS de 8.8.

Contexto técnico

La vulnerabilidad se clasifica como SSRF (Server-Side Request Forgery), lo que significa que un atacante autenticado puede manipular el servidor para acceder a archivos internos o realizar solicitudes a otros recursos dentro de la red local, exponiendo así información sensible.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la confidencialidad de datos críticos y permitir a un atacante acceder a información que no debería estar disponible, lo que podría llevar a una pérdida de confianza por parte de los usuarios y daños a la reputación de la organización.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando peticiones manipuladas a través del plugin ICS Calendar, lo que les permite leer archivos arbitrarios en el servidor o realizar solicitudes a servicios internos.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin ICS Calendar a la versión 10.12.0.3 o superior. Además, se sugiere revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del servidor.

Señales de detección

Se deben monitorizar los logs del servidor en busca de patrones inusuales de acceso a archivos o solicitudes a recursos internos que no deberían ser accesibles por los usuarios autenticados.

Alcance afectado

La vulnerabilidad afecta a todas las versiones del plugin ICS Calendar hasta la 10.12.0.2. Es crucial que todos los usuarios que utilicen este plugin verifiquen su versión y realicen la actualización necesaria.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

userswp

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

HIGH PLUGIN

webmention

Webmention <= 5.6.2 - Unauthenticated Blind Server-Side Request Forgery

MEDIUM PLUGIN

webmention

Webmention <= 5.6.2 - Authenticated (Subscriber+) Server-Side Request Forgery

HIGH THEME

oxygen

Oxygen <= 6.0.8 - Unauthenticated Server-Side Request Forgery via route_path

HIGH PLUGIN

optin

WowOptin: Next-Gen Popup Maker <= 1.4.29 - Unauthenticated Server-Side Request Forgery via 'link' Parameter in REST API

HIGH PLUGIN

mimetypes-link-icons

MimeTypes Link Icons <= 3.2.20 - Authenticated (Contributor+) Server-Side Request Forgery via Crafted Links in Post Content

HIGH PLUGIN

performance-monitor

Performance Monitor <= 1.0.6 - Unauthenticated Server-Side Request Forgery via 'url' Parameter

HIGH PLUGIN

content-syndication-toolkit

Content Syndication Toolkit <= 1.3 - Unauthenticated Server-Side Request Forgery via 'url' Parameter

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto