Vulnerabilidad de divulgación de información en plugin de WordPress

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin WP Ultimate CSV Importer de WordPress, que permitiría a un atacante realizar divulgación de información del sitio web afectado. 

La vulnerabilidad identificada como CVE-2023-4139, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en la lista de directorios específicamente por la falta de restricciones en la indexación de carpetas de exportación en el plugin WP Ultimate CSV Importer de WordPress. Esto permitiría a un atacante no autenticado, obtener acceso a los archivos exportados, enumerarlos y provocar divulgación de información confidencial del sitio web afectado. 

El producto afectado es: 

• Plugin WP Ultimate CSV Importer, versión 7.9.8 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

• https://wordpress.org/plugins/wp-ultimate-csv-importer/#developers  

Referencias: 

• https://patchstack.com/database/vulnerability/wp-ultimate-csv-importer/wordpress-wp-ultimate-csv-importer-plugin-7-9-8-sensitive-information-exposure-via-directory-listing-vulnerability 
• https://nvd.nist.gov/vuln/detail/CVE-2023-4139 
• https://wordpress.org/plugins/wp-ultimate-csv-importer/#developers