Introducció
S’ha descobert una vulnerabilitat de gravetat crítica en un complement de WordPress que pot permetre als atacants obtindre l’execució remota de codi per a comprometre completament els llocs web vulnerables. Conegut com a Còpia de seguretat Migration, el complement ajuda els administradors a automatitzar les còpies de seguretat del lloc en l’emmagatzematge local o en un compte de Google Drive.
Anàlisi
CVE-2023-6553
L’error de seguretat (CVE-2023-6553 i classificat amb una puntuació de gravetat de 9,8) va ser descobert per un equip de caçadors d’errors conegut com Nex Team. Este permet a atacants no autenticats apoderar-se de llocs web específics obtenint l’execució remota de codi mitjançant la injecció de codi PHP a través de l’arxiu /includes/còpia de seguretat-heart.php.
Recursos afectats
Afecta a totes les versions de complements fins a Còpia de seguretat Migration 1.3.6 inclosa.
- Recomanacions
- Aplicar els pegats llançats.
Referències
https://blog.segu-info.com.ar/2023/12/vulnerabilidad-critica-en-plugin-de.html