![WordPress -logo](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2022/09/WordPress-logo-.png)
Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin Ultimate Member de WordPress, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-3384, de severidad “alta”, con una puntuación asignada de 7.2. Esta vulnerabilidad se debe a una falla en la función populate_dropdown_options. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
Las versiones afectadas son:
- Ultimate Member, versión 2.5.0 y versiones anteriores.
Recomendamos acceder a las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://patchstack.com/database/vulnerability/ultimate-member/wordpress-ultimate-member-2-5-0-auth-limited-remote-code-execution-vulnerability
- https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3384
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3384
- https://downloads.wordpress.org/plugin/ultimate-member.2.5.1.zip