Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

PHPSpreadsheet Library < 2.3.0 - XXE Injection

PLUGIN HIGH CVE-2024-45293

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en la biblioteca PHPSpreadsheet utilizada por el plugin TablePress, que permite la inyección de entidades externas XML (XXE). Esta falla afecta a versiones anteriores a la 2.4.3 y puede comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se origina en la forma en que PHPSpreadsheet maneja las entidades externas en archivos XML. Esto permite a un atacante malintencionado enviar un archivo XML especialmente diseñado que puede provocar la exposición de información sensible o la ejecución de código no autorizado en el servidor.

Impacto potencial

El impacto potencial de esta vulnerabilidad es significativo, ya que puede permitir a un atacante acceder a datos confidenciales, comprometer la integridad del sistema y afectar la disponibilidad del servicio. Esto podría resultar en pérdidas económicas y daños a la reputación de la organización.

Vector de explotación

La explotación típicamente se lleva a cabo mediante la carga de un archivo XML malicioso a través de las funcionalidades del plugin, lo que activa la vulnerabilidad y permite la ejecución de comandos no autorizados o la exfiltración de datos.

Mitigación recomendada

Se recomienda actualizar el plugin TablePress a la versión 2.4.3 o superior. Además, se sugiere revisar la configuración del servidor para deshabilitar el procesamiento de entidades externas en XML y aplicar prácticas de seguridad adicionales como la validación de entradas.

Señales de detección

Las señales de riesgo incluyen registros de actividad inusual, intentos de carga de archivos XML no autorizados y alertas de seguridad relacionadas con la manipulación de datos en el plugin TablePress.

Alcance afectado

Las versiones del plugin TablePress anteriores a la 2.4.3 son las que presentan esta vulnerabilidad. Se recomienda a todos los usuarios de este plugin que verifiquen su versión y realicen las actualizaciones necesarias.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

tablepress

TablePress – Tables in WordPress made easy <= 3.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

Ver ficha
MEDIUM PLUGIN

tablepress

TablePress <= 3.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via shortcode_debug Parameter

Ver ficha
MEDIUM PLUGIN

tablepress

TablePress <= 3.1.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via Multiple Parameters

Ver ficha
MEDIUM PLUGIN

tablepress

TablePress – Tables in WordPress made easy <= 3.0.4 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

tablepress

TablePress <= 2.4.2 - Authenticated (Author+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

tablepress

TablePress – Tables in WordPress made easy <= 2.3 - Authenticated (Author+) Server-Side Request Forgery via DNS Rebind

Ver ficha
HIGH PLUGIN

tablepress

TablePress <= 2.2.4 - Authenticated(Author+) Server Side Request Forgery(SSRF) via _get_import_files

Ver ficha
MEDIUM PLUGIN

tablepress

Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad