Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Una vulnerabilidad de ejecución remota de código (RCE) ha sido identificada en el plugin PDF Invoices & Packing Slips para WooCommerce en versiones anteriores a 5.9.0. Esta falla permite a usuarios autenticados con privilegios de gestor de tienda ejecutar código PHP malicioso, lo que puede comprometer la seguridad del sitio.
El fallo se origina en la inadecuada validación de datos en el plugin, permitiendo que un gestor de tienda (Shop manager) inyecte objetos PHP a través de solicitudes maliciosas. La superficie de ataque se centra en las funciones que manejan la generación de facturas y albaranes, donde se puede manipular la entrada para ejecutar código no autorizado.
La explotación de esta vulnerabilidad puede resultar en la ejecución de código arbitrario en el servidor, lo que podría llevar al robo de datos sensibles o a la toma de control del sitio. Esto representa un riesgo significativo para la integridad de la información y la confianza de los clientes.
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas a las funciones del plugin que procesan las facturas, utilizando credenciales de usuario con permisos de gestor de tienda.
Actualizar el plugin PDF Invoices & Packing Slips a la versión 5.9.0 o superior para corregir la vulnerabilidad. Revisar y restringir los permisos de los usuarios con acceso al panel de administración, limitando el número de gestores de tienda. Implementar medidas de seguridad adicionales como un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas.
Monitorear los registros de acceso en busca de solicitudes inusuales que intenten manipular la generación de facturas, así como cambios inesperados en archivos del plugin.
Las versiones del plugin PDF Invoices & Packing Slips anteriores a 5.9.0 están afectadas. No se han confirmado casos en versiones posteriores.
woocommerce-pdf-invoices-packing-slips
woocommerce-pdf-invoices-packing-slips
woocommerce-pdf-invoices-packing-slips
woocommerce-pdf-invoices-packing-slips
woocommerce-pdf-invoices-packing-slips
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.