Se ha identificado una vulnerabilidad crítica en el plugin WP Umbrella para WordPress, utilizado por más de 30,000 sitios web para gestionar tareas como copias de seguridad, monitoreo y actualizaciones. La explotación de esta falla podría permitir a atacantes no autenticados tomar control completo de los sitios afectados.
- CVE-2024-12209 (CVSS 9.8): Esta vulnerabilidad mediante el parámetro ‘filename’ de la acción ‘umbrella-restore’, permite a atacantes no autenticados ejecutar código PHP arbitrario en el servidor. Lo cual les concede la capacidad de eludir controles de acceso, obtener datos sensibles o ejecutar código malicioso utilizando archivos aparentemente seguros.
Producto y versiones afectadas:
- Versiones anteriores a la 2.17.1 del plugin WP Umbrella: Update Backup Restore & Monitoring para WordPress.
Solución:
- Actualizar a la versión 2.17.1 o posterior.
Recomendaciones:
- Actualizar el plugin WP Umbrella a la versión más reciente.
- Implementar controles de acceso robustos con autenticación de múltiples factores.
- Realizar copias de seguridad periódicas para garantizar la recuperación ante incidentes.
Referencias: