Fuente base de datos: Wordfence Intelligence

Product Import Export for WooCommerce <= 2.3.7 - Authenticated(Shop Manager+) Arbitrary File Upload via upload_import_file

PLUGIN HIGH CVE-2024-22152

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Product Import Export for WooCommerce' que permite la carga arbitraria de archivos. Esta falla afecta a versiones anteriores a la 2.3.8 y puede ser explotada por usuarios autenticados con permisos de gestor de tienda.

Contexto técnico

El fallo se origina en la funcionalidad de carga de archivos del plugin, que no valida adecuadamente los archivos subidos, permitiendo así la ejecución remota de código (RCE). La superficie de ataque se centra en los usuarios autenticados que tienen acceso a la sección de importación del plugin.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de código malicioso en el servidor, lo que compromete la integridad y disponibilidad del sitio web. Esto puede llevar a la pérdida de datos, alteración de contenido y potenciales brechas de seguridad que afecten a la confianza del cliente.

Vector de explotación

Generalmente, la explotación se lleva a cabo mediante la carga de un archivo malicioso a través de la funcionalidad de importación del plugin, una vez que el atacante ha obtenido acceso como gestor de tienda.

Mitigación recomendada

Actualizar el plugin 'Product Import Export for WooCommerce' a la versión 2.3.8 o superior. Además, se recomienda revisar los permisos de los usuarios y aplicar prácticas de seguridad adicionales como la limitación de acceso a funciones críticas del plugin.

Señales de detección

Señales de riesgo incluyen registros de actividad inusual en la carga de archivos, intentos de acceso no autorizados a la funcionalidad de importación, y la presencia de archivos sospechosos en el servidor.

Alcance afectado

Las versiones del plugin 'Product Import Export for WooCommerce' anteriores a la 2.3.8 son vulnerables. Esto incluye todas las instalaciones que utilicen versiones hasta la 2.3.7.

Vulnerabilidades relacionadas

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

LOW PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Deletion via admin_log_page Function

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file Function

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.5.0 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Read via download_file Function

HIGH PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 2.4.1 - Authenticated(Shop Manager+) Arbitrary File Upload

MEDIUM PLUGIN

product-import-export-for-woo

Product Import Export for WooCommerce <= 1.7.4 - Missing Authorization to CSV Import

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto