Se ha identificado una vulnerabilidad crítica en el plugin WP All Import Pro para WordPress, utilizado para importar datos. Esta falla podría permitir a atacantes autenticados con permisos de administrador enviar solicitudes maliciosas desde el servidor, comprometiendo sistemas internos, accediendo a datos sensibles y, en entornos de nube, obteniendo información crítica como metadatos de instancia.
- CVE-2024-9624 (CVSS: 7.6): La vulnerabilidad se debe a la falta de protección contra falsificación de solicitudes del lado del servidor (SSRF) en la función
pmxi_curl_download
, lo que permite enviar solicitudes a ubicaciones arbitrarias desde la aplicación web.
Productos y versiones afectadas:
- Versiones anteriores a la 4.9.4 del plugin WP All Import Pro para WordPress.
Solución:
- Actualizar a la versión 4.9.4 o posterior.
Recomendaciones:
- Actualizar el complemento a la última versión disponible.
- Implementar monitoreo para detectar accesos no autorizados o actividades sospechosas.
- Verificar y aplicar parches de seguridad de manera periódica.
Referencias: