El complemento Product Import Export for WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función ‘upload_import_file’ en todas las versiones hasta, e incluyendo, la 2.3.7. Esto permite a atacantes autenticados, con acceso de Administrador de tienda o superior, cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede permitir la ejecución remota de código.
El complemento Product Import Export for WooCommerce es ampliamente utilizado en sitios de comercio electrónico basados en WordPress para importar y exportar productos. Sin embargo, la falta de validación del tipo de archivo en la función ‘upload_import_file’ crea una vulnerabilidad que puede ser explotada por atacantes autenticados con acceso de Administrador de tienda o superior.
Los atacantes pueden cargar archivos maliciosos en el servidor del sitio afectado, lo que puede dar lugar a la ejecución remota de código. Esto puede permitir a los atacantes tomar el control del sitio web y realizar actividades maliciosas, como robar datos de los usuarios o incluso comprometer otros servidores a través de la escalada de privilegios.
Para subsanar este problema de seguridad, los usuarios afectados deben actualizar el complemento Product Import Export for WooCommerce a su última versión disponible. Además, se recomienda implementar medidas adicionales de seguridad, como restringir el acceso de los usuarios a funciones y características específicas del complemento.
Es fundamental que los usuarios mantengan sus sitios de WordPress y sus complementos actualizados para mitigar los riesgos de seguridad.
La falta de validación del tipo de archivo en el complemento Product Import Export for WooCommerce <= 2.3.7 puede permitir a atacantes autenticados cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede dar lugar a la ejecución remota de código. Para evitar esta vulnerabilidad, los usuarios deben actualizar el complemento a su última versión disponible y seguir buenas prácticas de seguridad, como mantener todos los complementos y el núcleo de WordPress actualizados.
