Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Ultimate Member de WordPress, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-3384, de severidad “alta”, con una puntuación asignada de 7.2. Esta vulnerabilidad se debe a una falla en la función populate_dropdown_options. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
Las versiones afectadas son:
- Ultimate Member, versión 2.5.0 y versiones anteriores.
Recomendamos acceder a las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://patchstack.com/database/vulnerability/ultimate-member/wordpress-ultimate-member-2-5-0-auth-limited-remote-code-execution-vulnerability
- https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3384
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3384
- https://downloads.wordpress.org/plugin/ultimate-member.2.5.1.zip