Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin UpdraftPlus Backup de WordPress, que permitiría a un atacante robar información confidencial o realizar escalamiento de privilegios en el sitio web afectado.
La vulnerabilidad identificada como CVE-2023-32960, de severidad “Alta”, con una puntuación asignada de 7.1. Esta vulnerabilidad del tipo cross-site request forgery (CSRF) se debe a una falla de seguridad en el plugin UpdraftPlus Backup de WordPress. Esto permitiría a un atacante no autenticado a través del envío de URLs especialmente diseñadas al sitio web y visitada por la víctima, robar información confidencial y realizar escalamiento en privilegios en el sitio web afectado.
El producto afectado es:
- Plugin UpdraftPlus Backup de WordPress, versión 1.23.3 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2023-32960-csrf-flaw-in-wordpress-updraftplus-plugin-with-three-million-active-installations/
- https://patchstack.com/database/vulnerability/updraftplus/wordpress-updraftplus-plugin-1-23-3-csrf-lead-to-wp-admin-site-wide-xss-vulnerability
- https://wordpress.org/plugins/updraftplus/#developers
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32960