Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Booster (<= 5.6.6) and Booster Plus (<= 5.6.4) for WooCommerce - Authenticated (Shop Manager+) Information Exposure via Arbitrary File Download

PLUGIN MEDIUM CVE-2022-3762

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Booster y Booster Plus para WooCommerce que permite la exposición de información a través de descargas de archivos arbitrarios. Esta vulnerabilidad afecta a versiones anteriores a la 5.6.7 y tiene un nivel de gravedad medio.

Contexto técnico

La vulnerabilidad se encuentra en la funcionalidad del plugin que permite a los usuarios autenticados, específicamente a los Shop Managers, descargar archivos arbitrarios. Esto puede ser explotado si un atacante tiene acceso a un usuario con privilegios adecuados, lo que amplía la superficie de ataque.

Impacto potencial

El impacto potencial incluye la exposición de información sensible del servidor, lo que podría comprometer datos de clientes y operaciones comerciales. Esto puede resultar en pérdida de confianza por parte de los usuarios y posibles repercusiones legales.

Vector de explotación

Generalmente, se explota mediante la autenticación como Shop Manager, permitiendo al atacante ejecutar solicitudes para descargar archivos del servidor que no deberían ser accesibles.

Mitigación recomendada

Actualizar el plugin a la versión 5.6.7 o superior. Además, se recomienda revisar los permisos de los roles de usuario y aplicar buenas prácticas de seguridad en la configuración del servidor.

Señales de detección

Señales de riesgo incluyen intentos inusuales de descarga de archivos por parte de usuarios autenticados y registros de acceso que muestren patrones sospechosos relacionados con el plugin.

Alcance afectado

Las versiones afectadas incluyen Booster hasta la 5.6.6 y Booster Plus hasta la 5.6.4. Cualquier instalación que utilice estas versiones es vulnerable.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woocommerce-jetpack

Booster for WooCommerce – PDF Invoices, Abandoned Cart, Variation Swatches & 100+ Tools < 7.11.3 - Missing Authorization

Ver ficha
MEDIUM PLUGIN

woocommerce-jetpack

Booster for WooCommerce <= 7.4.0 - Missing Authorization

Ver ficha
HIGH PLUGIN

woocommerce-jetpack

Booster for WooCommerce <= 7.2.4 - Unauthenticated Double Extension Arbitrary File Upload

Ver ficha
HIGH PLUGIN

woocommerce-jetpack

Booster for WooCommerce 4.0.1 - 7.2.4 - Unauthenticated Arbitrary File Upload

Ver ficha
MEDIUM PLUGIN

woocommerce-jetpack

Booster for WooCommerce <= 7.1.8 - Unauthenticated Arbitrary Shortcode Execution

Ver ficha
MEDIUM PLUGIN

woocommerce-jetpack

Booster for WooCommerce <= 7.1.2 - Missing Authorization to Product Creation/Modification

Ver ficha
MEDIUM PLUGIN

woocommerce-jetpack

Booster for WooCommerce <= 7.1.1 - Missing Authorization to Authenticated (Subscriber+) Order Information Disclosure

Ver ficha
MEDIUM PLUGIN

woocommerce-jetpack

Booster for WooCommerce <= 7.1.1 - Authenticated (Subscriber+) Information Disclosure via Shortcode

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad