Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin YITH WooCommerce Gift Cards Premium de WordPress, que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
La vulnerabilidad identificada como CVE-2022-45359, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de verificación de seguridad en la subida de archivos del plugin YITH WooCommerce Gift Cards Premium de WordPress. Esto permitiría a un atacante no autenticado poder subir archivos maliciosos en el sitio web, provocando la ejecución remota de código (RCE) en el sistema afectado.
Los productos afectados son:
- YITH WooCommerce Gift Cards Premium, versiones anteriores a 3.20.0.
Recomendamos instalar las actualizaciones correspondientes provistas por YITH WooCommerce Gift Cards Premium de WordPress en el siguiente enlace:
Referencias:
- https://securityaffairs.co/wordpress/140004/hacking/wordpress-gift-card-plugin-attacks.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-45359
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/yith-woocommerce-gift-cards-premium/yith-woocommerce-gift-cards-premium-3190-unauthenticated-arbitrary-file-upload
- https://wordpress.org/plugins/yith-woocommerce-gift-cards/