Vulnerabilidad crítica en WP All Import Pro expone a falsificación de solicitudes

Se ha identificado una vulnerabilidad crítica en el plugin WP All Import Pro para WordPress, utilizado para importar datos. Esta falla podría permitir a atacantes autenticados con permisos de administrador enviar solicitudes maliciosas desde el servidor, comprometiendo sistemas internos, accediendo a datos sensibles y, en entornos de nube, obteniendo información crítica como metadatos de instancia.

  • CVE-2024-9624 (CVSS: 7.6): La vulnerabilidad se debe a la falta de protección contra falsificación de solicitudes del lado del servidor (SSRF) en la función pmxi_curl_download, lo que permite enviar solicitudes a ubicaciones arbitrarias desde la aplicación web.

Productos y versiones afectadas:

  • Versiones anteriores a la 4.9.4 del plugin WP All Import Pro para WordPress.

Solución:

  • Actualizar a la versión 4.9.4 o posterior.

Recomendaciones:

  • Actualizar el complemento a la última versión disponible.
  • Implementar monitoreo para detectar accesos no autorizados o actividades sospechosas.
  • Verificar y aplicar parches de seguridad de manera periódica.

Referencias: