Fuente base de datos: Wordfence Intelligence

Order Export & Order Import for WooCommerce <= 2.6.7 - Missing Authorization

PLUGIN MEDIUM CVE-2025-64382

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de ejecución remota de código en el plugin 'Order Export & Order Import for WooCommerce' en versiones hasta la 2.6.7. Esta falla puede permitir a un atacante ejecutar código malicioso en el servidor afectado.

Contexto técnico

La vulnerabilidad se origina por la falta de autorización adecuada en ciertas funciones del plugin, lo que permite a usuarios no autenticados realizar acciones no permitidas. Esto amplía la superficie de ataque, ya que no se requiere autenticación para explotar el fallo.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que permite la ejecución de código malicioso, lo que podría comprometer la integridad del sitio web y la seguridad de los datos de los usuarios. Esto puede resultar en pérdidas económicas y daños a la reputación de la empresa.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las funciones del plugin que carecen de verificación de autorización, permitiendo así la ejecución de código no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.6.8 o superior. Además, se deben revisar las configuraciones de seguridad del servidor y aplicar prácticas de hardening en WordPress.

Señales de detección

Señales de posible explotación incluyen registros de acceso inusuales, solicitudes HTTP que intentan acceder a funciones del plugin sin autenticación, y cambios inesperados en los archivos del servidor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.6.8 del plugin 'Order Export & Order Import for WooCommerce'.