Vulnerabilidad alta en el plugin WP All Export Pro de WordPress

El plugin WP All Export Pro para WordPress, utilizado por más de 200,000 sitios para exportar datos personalizados, presenta una vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario en el servidor.

• CVE-2024-7419 (CVSS 8.3): Esta vulnerabilidad de inyección de código remoto no autenticada en el plugin permite ejecutar código PHP malicioso en el servidor debido a la falta de validación/sanitización en campos personalizados de exportación, lo que posibilita inyectar código que se ejecuta automáticamente durante la exportación.

Productos y versiones afectadas

• Versiones anteriores a la 1.9.2 del plugin WP All Export Pro.

Solución

• Actualizar a la versión 1.9.2 o superior.

Recomendaciones

• Actualizar el plugin WP All Export Pro a la última versión disponible para mitigar esta vulnerabilidad.
• Restringir el acceso a las funcionalidades de exportación a usuarios estrictamente necesarios.
• Monitorear registros del servidor para detectar intentos de inyección de código o actividades sospechosas.

Referencias:

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-all-export-pro/wp-all-export-pro-191-unauthenticated-remote-code-execution-via-custom-export-fields
• https://www.cve.org/CVERecord?id=CVE-2024-7419
• NVD – CVE-2024-7419