Introduccion
Se ha descubierto una vulnerabilidad de gravedad crítica en un complemento de WordPress que puede permitir a los atacantes obtener la ejecución remota de código para comprometer completamente los sitios web vulnerables. Conocido como Backup Migration, el complemento ayuda a los administradores a automatizar las copias de seguridad del sitio en el almacenamiento local o en una cuenta de Google Drive.
Análisis
CVE-2023-6553
El error de seguridad (CVE-2023-6553 y clasificado con una puntuación de gravedad de 9,8) fue descubierto por un equipo de cazadores de errores conocido como Nex Team. Este permite a atacantes no autenticados apoderarse de sitios web específicos obteniendo la ejecución remota de código mediante la inyección de código PHP a través del archivo /includes/backup-heart.php.
Recomendaciones
Instalar el ultimo parche de seguridad
Versiones afectadas
Afecta a todas las versiones de complementos hasta Backup Migration 1.3.6 incluida.
Referencias
https://blog.segu-info.com.ar/2023/12/vulnerabilidad-critica-en-plugin-de.html