El plugin WP Query Console para WordPress presenta una vulnerabilidad crítica de Ejecución Remota de Código (RCE) que afecta a todas las versiones hasta la 1.0 inclusive. Esta vulnerabilidad no requiere autenticación, lo que permite a los atacantes ejecutar código arbitrario sin necesidad de acceso previo. Existe un exploit de tipo prueba de concepto (PoC) disponible públicamente, lo que aumenta significativamente la probabilidad de explotación.
Patchstack ha clasificado esta vulnerabilidad como altamente peligrosa, con una puntuación CVSS de 10, y ha declarado que “se espera una explotación masiva”.
| Producto | wp-query-console |
| Fecha | 2024-12-03 15:20:17 |
| Información |
|
Resumen técnico
El plugin WP Query Console para WordPress es vulnerable a la Ejecución Remota de Código en todas las versiones hasta la 1.0 inclusive. Este fallo permite a atacantes no autenticados ejecutar código arbitrario en el servidor, lo que potencialmente conduce al compromiso total del sitio web y del entorno de alojamiento.
Recomendaciones
Dado que actualmente no hay ninguna corrección disponible y el plugin no ha sido mantenido ni actualizado durante siete años, se recomienda desactivar y desinstalar inmediatamente el plugin WP Query Console.
[Callforaction-THREAT-Footer]