Se ha descubierto una vulnerabilidad crítica que afecta a el complemento InPost para WooCommerce y el complemento InPost PL para WordPress.
InPost PL es un complemento de integración dedicado, creado para pequeñas y medianas empresas que desean integrarse rápida y cómodamente con los servicios InPost.
- CVE-2024-6500 (CVSS: 10): El complemento InPost para WooCommerce y el complemento InPost PL para WordPress son vulnerables al acceso no autorizado y a la eliminación de datos debido a una falta de comprobación de capacidad en la función parse_request. Esto permite que atacantes no autenticados lean y eliminen archivos arbitrarios en servidores Windows. En servidores Linux, solo se eliminarán los archivos dentro de la instalación de WordPress, pero se podrán leer todos los archivos.
Productos, versiones afectadas y corregidas:
| Producto | Versiones afectadas | Versiones corregidas |
| InPost para WooCommerce | versión 1.4.0 y anteriores | Sin parche disponible |
| InPost PL | versión 1.4.4 y anteriores | versión 1.4.5 |
Recomendaciones:
- Actualizar lo antes posible el complemento InPost PL a la última versión disponible para mitigar los riesgos potenciales.
- Eliminar el complemento InPost para WooCommerce si está presente en el sitio y migrar a InPost PL.
Referencias: