El plugin Easy Digital Downloads – Simple eCommerce for Selling Digital Files para WordPress es vulnerable a la deserialización de datos no confiables a través del parámetro ‘upload[file]’ en versiones hasta, e incluyendo, la 3.3.3. Esto permite a los usuarios administrativos autenticados llamar archivos usando un envoltorio PHAR, que deserializará y llamará a objetos PHP arbitrarios que pueden ser utilizados para realizar una variedad de acciones maliciosas si también está presente una cadena de POP.
La vulnerabilidad CVE-2022-2439 en el plugin Easy Digital Downloads permite a un atacante autenticado con privilegios de administrador realizar acciones maliciosas en el sitio web afectado. Para mitigar este riesgo, se recomienda a los usuarios actualizar el plugin a la última versión disponible, en este caso, la 3.3.4. Además, se aconseja a los administradores del sitio restringir el acceso a usuarios no autorizados y mantener un monitoreo constante de actividad sospechosa en el sistema.
Es fundamental que los administradores de sitios web que utilizan el plugin Easy Digital Downloads estén al tanto de esta vulnerabilidad y tomen medidas proactivas para proteger sus sitios de posibles ataques. Mantener todos los plugins y temas actualizados, implementar medidas de seguridad robustas y realizar copias de seguridad periódicas son prácticas recomendadas para garantizar la integridad y seguridad de un sitio WordPress.