Recopilación de vulnerabilidades WordPress.

Vulnerabilidad en WP All Import Pro <= 4.9.3 – SSRF autenticado (Administrador+) a través de importación de archivos

La vulnerabilidad de Solicitudes Falsificadas del Servidor en el lado del servidor (SSRF) en el complemento WP All Import Pro para WordPress afecta a todas las versiones hasta, e incluyendo, la 4.9.3 debido a la falta de protección SSRF en la función pmxi_curl_download. Esto permite a atacantes autenticados, con acceso de nivel Administrador y superior, hacer solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y puede utilizarse para consultar y modificar información de servicios internos. En plataformas en la nube, podría permitir a los atacantes leer los metadatos de la instancia.

Los usuarios afectados por esta vulnerabilidad deben actualizar a la última versión del complemento WP All Import Pro para mitigar el riesgo de explotación. Además, se recomienda a los administradores del sistema monitorear de cerca cualquier actividad sospechosa en sus sitios web y revisar los registros en busca de posibles intentos de explotación de SSRF.
Es fundamental para los administradores de WordPress mantener sus plugins y temas actualizados para proteger sus sitios web contra las vulnerabilidades conocidas. En este caso, la actualización a la última versión de WP All Import Pro es esencial para mitigar el riesgo de explotación de SSRF.

Related Article