WP Import – Ultimate CSV XML Importer for WordPress 7.20 - 7.28 - Authenticated (Subscriber+) Remote Code Execution via Code Injection

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin WP Import – Ultimate CSV XML Importer para WordPress, que permite la ejecución remota de código a través de inyecciones de código. Esta falla afecta a las versiones desde la 7.20 hasta la 7.28 y ha sido calificada con un CVSS de 8.8.

Contexto técnico

La vulnerabilidad se origina en una falta de validación de entrada en el plugin, que permite a usuarios autenticados con privilegios de suscriptor o superiores inyectar código malicioso. Esto abre una superficie de ataque que puede ser explotada para ejecutar comandos arbitrarios en el servidor.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad y disponibilidad del sitio web, permitiendo a un atacante ejecutar código malicioso que podría llevar al robo de datos sensibles o a la toma de control total del entorno de WordPress.

Vector de explotación

Normalmente, la explotación se realiza mediante la manipulación de las funciones de importación del plugin, donde un usuario autenticado puede cargar un archivo CSV o XML que contenga código malicioso.

Mitigación recomendada

Se recomienda actualizar el plugin a la versión 7.29 o superior, donde se ha corregido esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y limitar el acceso a funciones críticas del plugin.

Señales de detección

Señales de posible explotación incluyen actividades inusuales en los registros de acceso, como intentos de carga de archivos no autorizados o ejecución de comandos que no corresponden a las funcionalidades del plugin.

Alcance afectado

Las versiones afectadas son desde la 7.20 hasta la 7.28 del plugin WP Import – Ultimate CSV XML Importer. Todas las instalaciones que utilicen estas versiones son vulnerables.