Vulnerabilidades en plugin UpdraftPlus de WordPress

Se encontró la vulnerabilidad registrada con el código CVE-2023-32960 con puntuación CVSS 7.1 considerada de severidad alta, de tipo CSRF Flaw en el plugin de copia de seguridad de WordPress, UpdraftPlus.

UpdraftPlus presenta una vulnerabilidad de falsificación de solicitud entre sitios (CSRF). Un ataque CSRF esencialmente obliga a un usuario con privilegios más altos a realizar acciones que no tenía la intención de realizar, todo bajo su autenticación actual.

En este escenario, cualquier usuario no autenticado podría potencialmente robar información confidencial o escalar sus privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite una URL de WordPress maliciosa. Una visita solitaria es todo lo que se necesita para activar un XSS en todo el sitio.

La vulnerabilidad solo podría activarse bajo una condición específica: el sitio de WordPress debe haber elegido Dropbox como su opción de almacenamiento remoto. Además, el ataque CSRF generalmente solo se puede desencadenar desde una cuenta con privilegios de función de administrador.

Productos afectados

Plugin.UpdraftPlus

Versiones afectadas

versiones 1.23.3 e inferiores y versión gratuita

Solución

Actualizar a la versión 1.23.4 o superior

Recomendaciones

Se recomienda a los usuarios de este software que implementen la última actualización disponible.

Referencias