En este reporte se detalla una vulnerabilidad de exposición de información sensible en los plugins WP STAGING y WP STAGING Pro para WordPress en versiones hasta, e incluyendo, 3.4.3 y 5.4.3 respectivamente. Esta vulnerabilidad puede permitir a atacantes no autenticados extraer datos sensibles de un archivo de registro, incluyendo información del sistema y (en la versión Pro) claves de licencia.
La vulnerabilidad reside en la función ajaxSendReport, lo que posibilita a los atacantes acceder a información confidencial a través de los archivos de registro generados por los plugins mencionados. Para lograr una explotación exitosa, un administrador debe haber utilizado la funcionalidad ‘Contact Us’ junto con la opción ‘Enable this option to automatically submit the log files’. Es importante que los usuarios tomen medidas para proteger sus sitios web y evitar la exposición de información sensible.
Ante esta vulnerabilidad, se recomienda a los usuarios actualizar sus versiones de WP STAGING y WP STAGING Pro a las versiones más recientes para mitigar cualquier riesgo de exposición de información sensible a través de archivos de registro. Además, se aconseja revisar regularmente los registros de actividad del sitio web en busca de cualquier actividad sospechosa.