Plataforma
wordpress
Componente
ultimate-membership-pro
Corregido en
8.6.1
CVE-2020-36832 es una vulnerabilidad de bypass de autenticación presente en el plugin Ultimate Membership Pro para WordPress. Esta falla permite a atacantes no autenticados obtener acceso a cuentas de usuario, incluyendo la del administrador, sin necesidad de credenciales válidas. Afecta a las versiones del plugin desde la 7.3 hasta la 8.6.1, inclusive. La vulnerabilidad ha sido resuelta en la versión 8.6.1.
La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede comprometer la seguridad de un sitio WordPress. Al poder iniciar sesión como cualquier usuario, el atacante puede acceder a información confidencial, modificar contenido, instalar malware, o incluso tomar el control total del sitio web. Esto podría resultar en la pérdida de datos, daños a la reputación, y la interrupción de servicios. La posibilidad de acceder a la cuenta de administrador amplifica significativamente el impacto potencial, permitiendo la manipulación de la configuración del sitio y la instalación de puertas traseras persistentes. Un ataque exitoso podría tener consecuencias similares a las observadas en otras vulnerabilidades de bypass de autenticación, donde la integridad y confidencialidad de los datos se ven comprometidas.
CVE-2020-36832 fue publicado el 16 de octubre de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza sencilla del bypass de autenticación sugiere que podrían desarrollarse rápidamente. La vulnerabilidad es de alta prioridad debido a su facilidad de explotación y el impacto potencial en la seguridad del sitio web.
Websites utilizing the Ultimate Membership Pro plugin, particularly those with default administrator credentials or weak password policies, are at significant risk. Shared WordPress hosting environments are also vulnerable, as a compromise of one site could potentially lead to the compromise of others on the same server.
• wordpress / composer / npm:
grep -r 'wp_authenticate_key' /var/www/html/wp-content/plugins/ultimate-membership-pro/• wordpress / composer / npm:
wp plugin list --status=active | grep ultimate-membership-pro• wordpress / composer / npm:
wp plugin update ultimate-membership-prodisclosure
Estado del Exploit
EPSS
0.64% (70% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2020-36832 es actualizar el plugin Ultimate Membership Pro a la versión 8.6.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de proceder. Como medida temporal, se puede restringir el acceso a la página de inicio de sesión del plugin mediante reglas de firewall o proxy, bloqueando el acceso desde direcciones IP no autorizadas. Monitorear los registros del servidor en busca de intentos de inicio de sesión sospechosos también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que el acceso a la administración del sitio requiere autenticación válida.
Actualice el plugin Ultimate Membership Pro a la versión 8.6.1 o superior. Esta actualización corrige la vulnerabilidad de omisión de autenticación que permite a atacantes no autenticados iniciar sesión como cualquier usuario, incluido el administrador del sitio.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-36832 is a critical vulnerability allowing unauthenticated attackers to log in as any user, including the administrator, in Ultimate Membership Pro versions 7.3 to 8.6.1.
If you are using Ultimate Membership Pro versions 7.3 through 8.6.1, you are vulnerable. Upgrade to 8.6.1 or later to mitigate the risk.
Upgrade the Ultimate Membership Pro plugin to version 8.6.1 or later. If immediate upgrade is not possible, implement temporary restrictions and WAF rules.
While no public exploit is known, the vulnerability's simplicity suggests active exploitation is possible and should be monitored.
Refer to the official Ultimate Membership Pro website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.