Plataforma
wordpress
Componente
charitable
Corregido en
1.7.1
CVE-2023-4404 es una vulnerabilidad de elevación de privilegios que afecta al plugin Donation Forms by Charitable para WordPress, en versiones hasta la 1.7.0.12 inclusive. Esta falla permite a atacantes no autenticados manipular el rol de usuario durante el proceso de registro, otorgándoles acceso no autorizado. La vulnerabilidad fue publicada el 23 de agosto de 2023 y se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permite a un atacante no autenticado especificar su rol de usuario durante el registro en el sitio WordPress. Esto podría resultar en la obtención de privilegios administrativos, permitiendo al atacante realizar acciones maliciosas como modificar contenido, instalar plugins maliciosos, acceder a datos sensibles de los usuarios o incluso tomar el control completo del sitio web. El impacto es significativo, ya que la falta de autenticación necesaria para modificar el rol de usuario abre una puerta de entrada para ataques de escalada de privilegios.
Esta vulnerabilidad se encuentra en el catálogo KEV de CISA (conocida explotación activa). No se han reportado campañas de explotación masivas a la fecha, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para atacantes. La disponibilidad de un PoC público aumenta el riesgo de explotación.
WordPress sites utilizing the Donation Forms by Charitable plugin, particularly those running versions prior to 1.7.0.12, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server infrastructure are especially vulnerable, as a compromise of one site could potentially lead to lateral movement and compromise of others. Sites with weak user registration security practices are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep Charitable• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'update_core_user' /var/www/html/wp-content/plugins/charitable/• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=charitable_register_user&role=administrator | head -n 1disclosure
Estado del Exploit
EPSS
0.24% (47% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Donation Forms by Charitable a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos y monitorear los registros del sitio web en busca de actividad sospechosa. Además, se puede considerar la implementación de un firewall de aplicaciones web (WAF) para bloquear intentos de explotación. Verifique la actualización con wp plugin update charitable.
Actualice el plugin Donation Forms by Charitable a la última versión disponible. Esto corregirá la vulnerabilidad de escalada de privilegios permitiendo que solo usuarios autorizados modifiquen los roles de otros usuarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2023-4404 is a critical vulnerability in the Donation Forms by Charitable WordPress plugin allowing unauthenticated attackers to escalate privileges during user registration, potentially gaining admin access.
If you are using Donation Forms by Charitable plugin versions 1.7.0.12 or earlier, you are vulnerable to this privilege escalation flaw.
Upgrade the Donation Forms by Charitable plugin to the latest version available. If upgrading is not possible immediately, disable user registration as a temporary workaround.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's criticality and ease of exploitation suggest a high probability of exploitation.
Refer to the official Donation Forms by Charitable plugin website or the WordPress plugin repository for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.