WP Import – Ultimate CSV XML Importer for WordPress <= 7.33.1 - Authenticated (Administrator+) PHP Object Injection via CSV Import

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP en el plugin WP Import – Ultimate CSV XML Importer para WordPress, que afecta a las versiones hasta la 7.33.1. Esta falla permite a un administrador autenticado ejecutar código malicioso a través de la importación de archivos CSV.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin procesa archivos CSV, permitiendo la inyección de objetos PHP. Esto ocurre cuando un atacante con privilegios de administrador puede cargar un archivo CSV especialmente diseñado que desencadena la ejecución de código no autorizado en el servidor.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante con acceso administrativo comprometer el sitio web, lo que podría resultar en la pérdida de datos, alteración de la funcionalidad del sitio y potencial acceso a información sensible.

Vector de explotación

La explotación se realiza mediante la creación y carga de un archivo CSV malicioso por un administrador autenticado, lo que desencadena la ejecución de código PHP no autorizado en el servidor.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WP Import – Ultimate CSV XML Importer a la versión 7.34 o superior. Además, se sugiere revisar los permisos de usuario y limitar el acceso a funciones críticas del plugin.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual en el plugin, intentos de carga de archivos CSV no válidos y cambios inesperados en la configuración del sitio.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin WP Import – Ultimate CSV XML Importer hasta la 7.33.1. La vulnerabilidad se encuentra en las instalaciones que utilizan este plugin sin la actualización correspondiente.