Plataforma
wordpress
Componente
profilepress
Corregido en
3.0.1
La vulnerabilidad CVE-2021-34622 es una escalada de privilegios detectada en el plugin ProfilePress para WordPress. Esta falla permite a usuarios con permisos limitados, al editar su perfil, obtener privilegios de administrador, comprometiendo la seguridad del sitio web. Afecta a las versiones 3.0.0 hasta la 3.1.3. Se recomienda actualizar a la última versión disponible para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permite a un atacante, inicialmente con un perfil de usuario estándar, obtener acceso completo al sitio WordPress. Esto incluye la capacidad de modificar contenido, instalar plugins, cambiar la configuración del sitio, e incluso eliminar datos. El impacto es severo, ya que compromete la integridad y confidencialidad de la información almacenada en el sitio. Un atacante podría, por ejemplo, inyectar código malicioso en el sitio, redirigir a los usuarios a sitios web fraudulentos, o robar información sensible de los usuarios. La facilidad de explotación, dada la naturaleza de la edición de perfiles, amplía el potencial de daño.
CVE-2021-34622 se publicó el 7 de julio de 2021. No se ha reportado explotación activa a gran escala, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. La vulnerabilidad es relativamente sencilla de explotar, lo que aumenta la probabilidad de que sea objeto de ataques. Es importante aplicar la mitigación lo antes posible para evitar compromisos.
WordPress sites utilizing the ProfilePress plugin, particularly those running versions 3.0.0 through 3.1.3, are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or those that haven't implemented proper user access controls are also at increased risk.
• wordpress / composer / npm:
grep -r 'EditUserProfile.php' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep ProfilePress• wordpress / composer / npm:
wp plugin update ProfilePress --all• generic web:
curl -I https://your-wordpress-site.com/wp-admin/profile.php | grep -i 'server' # Check for unusual server headers after profile editsdisclosure
Estado del Exploit
EPSS
64.97% (98% percentil)
Vector CVSS
La mitigación principal para CVE-2021-34622 es actualizar el plugin ProfilePress a la última versión disponible, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la edición de perfiles a usuarios con roles específicos y monitorear la actividad de los usuarios en busca de comportamientos sospechosos. Revise los permisos de usuario y asegúrese de que solo los administradores tengan acceso a funciones críticas. Implementar un firewall de aplicaciones web (WAF) puede ayudar a bloquear intentos de explotación.
Actualice el plugin ProfilePress a la última versión disponible. La vulnerabilidad permite a usuarios no autorizados escalar sus privilegios a administrador, por lo que es crucial aplicar la actualización lo antes posible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-34622 is a critical vulnerability in the ProfilePress WordPress plugin allowing users to escalate privileges to administrator level, potentially gaining full site control. It affects versions 3.0.0–3.1.3.
If you are using ProfilePress versions 3.0.0 through 3.1.3 on your WordPress site, you are potentially affected by this vulnerability. Check your plugin version immediately.
The recommended fix is to immediately upgrade ProfilePress to the latest available version. If upgrading is not possible, consider temporary restrictions on user profile editing.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a likely target. Monitor your site closely.
Refer to the ProfilePress website and WordPress plugin repository for the latest information and security advisories related to CVE-2021-34622.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.