Vulnerabilidad de inyección CSV en plugin de WordPress 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Activity Log de WordPress, que permitiría a un atacante remoto realizar inyección de código CSV en el sistema afectado. 

La vulnerabilidad identificada como CVE-2022-27858, de severidad “alta”, con una puntuación asignada de 7.4. Esta vulnerabilidad se debe a una falla en un componente desconocido del plugin Activity Log de WordPress. Esto permitiría a un atacante remoto realizar inyección de código CSV en el sistema afectado. 

Las versiones afectadas son: 

• Activity Log, versión 2.8.3 y anteriores. 

Recomendamos acceder a las actualizaciones correspondientes provistas por WordPress en el siguiente enlace: 

• https://downloads.wordpress.org/plugin/aryo-activity-log.2.8.4.zip  

Referencias: 

• https://patchstack.com/database/vulnerability/aryo-activity-log/wordpress-activity-log-plugin-2-8-3-csv-injection-vulnerability 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27858 
• https://downloads.wordpress.org/plugin/aryo-activity-log.2.8.4.zip