Header Ads Widget

Ticker

6/recent/ticker-posts

Los errores del complemento de WordPress para miembros definitivos permiten a los piratas informáticos tener privilegios de administrador

 El equipo de inteligencia de amenazas de Wordfence ha informado de tres vulnerabilidades críticas en un complemento de WordPress que pone en riesgo a casi 100.000 sitios.

Nombrado como miembro definitivo , este complemento está destinado a establecer varios niveles de acceso para los visitantes del sitio. Los tres errores informados podrían permitir que cualquier persona con un acceso mínimo obtenga privilegios de administrador. Hay disponible un parche para estos errores.

El complemento de WordPress pone en riesgo 100.000 sitios.

Los errores del complemento de WordPress para miembros definitivos permiten a los piratas informáticos tener privilegios de administrador
Errores del complemento de WordPress para miembros definitivos

Se informó que uno de los complementos populares de WordPress, Ultimate Member, tenía tres vulnerabilidades clasificadas de severa a grave. El equipo de inteligencia de amenazas de Wordfence, que anteriormente había detectado errores similares en los complementos de Google Site Kit , boletín informativo , los documentó. Dijeron que dos de los tres errores tienen una puntuación de gravedad de 10/10, y el otro con 9,8 / 10.

Los piratas informáticos pueden aprovechar los tres errores para obtener privilegios escalonados, dos por usuarios no autenticados (por lo tanto, una gravedad de 10/10) y uno por usuarios autenticados (por lo tanto, una puntuación de 9,8 / 10).

Se encuentra en el complemento Ultimate Member y se usa para administrar la membresía del sitio de los usuarios. Puede controlar los permisos otorgados a los usuarios, como permitir que solo los suscriptores pagos vean contenido exclusivo, etc.

El informe dijo que los errores de alta gravedad permitirían a los usuarios no autenticados, como los que hicieron ping a través de los formularios de contacto, obtener privilegios de nivel de administrador en el sitio.

Además, el error autenticado necesita que el atacante acceda a la página wp-admin y, de manera similar, les otorgue privilegios de administrador. Alcanzarlos significa tener derecho a hacer lo que quieran en el sitio.

Como describió Wordfence, cualquier usuario con privilegios de nivel de administrador puede instalar el complemento deseado, eliminar cualquier función, cambiar otras funciones, infectar con malware e incluso eliminar el sitio por completo.

Estos errores se informaron al equipo de Ultimate Member el 26 de octubre, y respondieron con una actualización de parche el 29 de octubre. Se recomienda actualizar a la última versión de 2.1.12.

Publicar un comentario

0 Comentarios