Recopilación de vulnerabilidades WordPress.

Vulnerabilidad de Upload de Archivos en Admin and Customer Messages After Order for WooCommerce <= 13.2 – Cross-Site Scripting (CVE-2024-13355)

El plugin Admin and Customer Messages After Order for WooCommerce: OrderConvo para WordPress es vulnerable a la carga de archivos limitada debido a una validación insuficiente de tipos de archivos en la función upload_file() en todas las versiones hasta la 13.2. Esto permite a atacantes autenticados, con acceso de nivel Suscriptor y superior, cargar archivos en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código y se confirma que hace posible Cross-Site Scripting.

Los usuarios afectados por esta vulnerabilidad deben actualizar urgentemente a la última versión del plugin, en este caso la versión 13.3, la cual incluye la corrección de la validación de tipos de archivos en la función de carga de archivos. Además, se recomienda implementar medidas adicionales de seguridad como la limitación de acceso de los roles de usuario en el sitio WordPress y el monitoreo constante de la actividad en busca de posibles intentos de carga de archivos maliciosos.
Es fundamental tomar medidas proactivas para proteger los sitios web de posibles vulnerabilidades como la descrita anteriormente. Mantener todos los plugins y temas actualizados, así como implementar prácticas sólidas de seguridad, ayudará a prevenir ataques exitosos y mantener la integridad de la plataforma WordPress.

Related Article