Vulnerabilidad crítica en el complemento InPost de WordPress

Se ha descubierto una vulnerabilidad crítica que afecta a el complemento InPost para WooCommerce y el complemento InPost PL para WordPress.

InPost PL es un complemento de integración dedicado, creado para pequeñas y medianas empresas que desean integrarse rápida y cómodamente con los servicios InPost.

  • CVE-2024-6500 (CVSS: 10): El complemento InPost para WooCommerce y el complemento InPost PL para WordPress son vulnerables al acceso no autorizado y a la eliminación de datos debido a una falta de comprobación de capacidad en la función parse_request. Esto permite que atacantes no autenticados lean y eliminen archivos arbitrarios en servidores Windows. En servidores Linux, solo se eliminarán los archivos dentro de la instalación de WordPress, pero se podrán leer todos los archivos.

Productos, versiones afectadas y corregidas:

ProductoVersiones afectadasVersiones corregidas
InPost para WooCommerceversión 1.4.0 y anterioresSin parche disponible
InPost PLversión 1.4.4 y anterioresversión 1.4.5

Recomendaciones:

  • Actualizar lo antes posible el complemento InPost PL a la última versión disponible para mitigar los riesgos potenciales.
  • Eliminar el complemento InPost para WooCommerce si está presente en el sitio y migrar a InPost PL.

Referencias: