Resumen Ejecutivo
17 de Febrero del 2022 | El investigador de seguridad Marc Montpass descubrió una vulnerabilidad en el plugin UpDraftPlus de Wordpress. Esta vulnerabilidad identificada con el CVE-ID: CVE-2022-0633 permite a cualquier usuario registrado (sin importar su nivel de permisos) descargar copias de seguridad realizadas con este plugin. Las copias de seguridad pueden contener información sensible como archivos de configuración.
Descripción de la Vulnerabilidad
UpDraftPlus es un plugin de wordpress que tiene como función descargar copias de seguridad. Una de las características implementadas recientemente, fue la capacidad de enviar enlaces de descarga de respaldo a una dirección de correo electrónico previamente establecida por el administrador. La implementación de esta función fue la que dio como resultado la vulnerabilidad, esta vulnerabilidad de permite a cualquier usuario autenticado generar enlaces funcionales para descargar copias de seguridad.
Recursos Afectados
Plugin: UpDraftplus | Versiones Afectadas: 1.16.7 - 1.22.2
Las copias de seguridad creadas con el plugin UpDraftPlus pueden ser descargadas por cualquier usuario que haya iniciado sesión y sin importar su nivel de permisos.
Recomendaciones Generales de Seguridad
La vulnerabilidad en este plugin fue corregida en la versión 1.22.3. Se recomienda realizar la actualización correspondiente.
0 Comentarios