Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin GiveWP de WordPress, que permitiría a un atacante realizar inyección de código, inyección SQL (SQLi) y denegación de servicio (DoS) en la aplicación web afectada.
La vulnerabilidad identificada como CVE-2023-32513, de severidad “Alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad de inyección de objetos PHP se debe a una falla de validación de datos de entradas del usuario en el plugin GiveWP de WordPress. Esto permitiría a un atacante ejecutar inyección de código, inyección SQL (SQLi), ataques del tipo path traversal y desencadenar denegación de servicios (DoS) si existe una cadena Property-Oriented Programming (POP) apropiada en el sitio web afectado.
El producto afectado es:
- Plugin GiveWP de WordPress, versión 2.25.3 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por WordPress en el siguiente enlace:
Referencias: