El plugin InPost for WooCommerce e InPost PL para WordPress son vulnerables a accesos no autorizados y eliminación de datos debido a la falta de comprobación de capacidades en la función ‘parse_request’ en todas las versiones hasta, e incluyendo, la 1.4.0 (para InPost for WooCommerce) así como la 1.4.4 (para InPost PL). Esto permite que atacantes no autenticados puedan leer y eliminar archivos arbitrarios en servidores Windows. En servidores Linux, solo se eliminarán archivos dentro de la instalación de WordPress, pero se podrán leer todos los archivos.
Los usuarios afectados por esta vulnerabilidad deben actualizar sus plugins a las versiones más recientes de InPost for WooCommerce y InPost PL en cuanto estén disponibles. Además, se recomienda mantener copias de seguridad periódicas de los archivos y la base de datos del sitio web para mitigar el impacto en caso de una eventual intrusión. Asimismo, se aconseja restringir el acceso a los archivos sensibles utilizando medidas adicionales de seguridad como firewalls o sistemas de detección de intrusiones.
Es fundamental que los usuarios tomen en serio la seguridad de sus sitios web y estén al tanto de las vulnerabilidades que pueden afectar sus plugins. La rápida actuación y la implementación de medidas preventivas son clave para proteger la integridad de los datos y la privacidad de los usuarios.