Se ha reportado una vulnerabilidad que afecta al plugin Ecwid Ecommerce Shopping de WordPress, que permitiría a un atacante realizar Cross-Site Request Forgery (CSRF).
La vulnerabilidad identificada como CVE-2022-2432, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una incorrecta validación de datos de entrada a través de la función ecwid_update_plugin_params.
Productos afectados:
- Ecwid Ecommerce Shopping Cart, version 6.10.23 y anteriores.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/08/BOL-CERT-PY-2022-33-Vulnerabilidad-de-cross-site-request-forgery-detectada-en-plugin-de-WordPress.pdf
- https://www.wordfence.com/blog/2022/08/cross-site-request-forgery-vulnerability-patched-in-ecwid-ecommerce-shopping-cart-plugin/
- https://www.redpacketsecurity.com/ecwid-ecommerce-shopping-cart-plugin-for-wordpress-cross-site-request-forgery-cve-2022-2432/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2432