Se ha identificado una vulnerabilidad crítica del tipo ejecución remota de código (RCE) en el plugin WordPress InstaWP Connect, que podría permitir a un actor malintencionado ejecutar comandos arbitrarios en el sitio web afectado por la vulnerabilidad.
Productos o items afectados
- Plugin WordPress InstaWP Connect <= 0.1.0.8
Impacto de la vulnerabilidad
La vulnerabilidad identificada como CVE-2024-58918 con puntuación de 9.9 en CVSSv3 y de severidad crítica, permite la carga a través del plugin de archivos sin ningún tipo de restricción, omitiendo tipo de archivo y contenido. Esta falla podría ser aprovechada por un actor malicioso para subir archivos arbitrarios al servidor web y desencadenar una ejecución remota de código (RCE) en el sistema vulnerable, lo que podría resultar en el acceso no autorizado y el control total del sitio.
Recomendación
Se recomienda actualizar el plugin InstaWP Connect a la última versión disponible (al menos 0.1.0.9) para mitigar esta vulnerabilidad.
Enlaces de referencia