Plataforma
wordpress
Componente
payu-india
Corregido en
3.8.4
La vulnerabilidad CVE-2024-12264 afecta al plugin PayU CommercePro para WordPress, permitiendo la escalada de privilegios. Un atacante puede aprovechar esta falla para crear cuentas de administrador sin autenticación, comprometiendo la seguridad del sitio web. Esta vulnerabilidad se encuentra presente en todas las versiones del plugin hasta la 3.8.3. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación inmediatas.
La explotación exitosa de CVE-2024-12264 permite a un atacante no autenticado crear cuentas de administrador en un sitio WordPress que utiliza el plugin PayU CommercePro. Esto otorga al atacante control total sobre el sitio web, incluyendo la capacidad de modificar contenido, instalar malware, acceder a datos sensibles de usuarios y realizar otras acciones maliciosas. El impacto es crítico, ya que la creación de una cuenta de administrador proporciona un punto de entrada persistente para futuros ataques. La falta de verificación adecuada en los endpoints REST API /wp-json/payu/v1/generate-user-token y /wp-json/payu/v1/get-shipping-cost es la causa raíz de esta vulnerabilidad, similar a otras fallas de control de acceso en plugins de WordPress.
CVE-2024-12264 fue publicado el 7 de enero de 2025. La vulnerabilidad se considera de alta probabilidad de explotación debido a su criticidad y la relativa facilidad con la que puede ser explotada. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad aumenta el riesgo. Se recomienda monitorear activamente los sistemas afectados.
WordPress websites using the PayU CommercePro Plugin are at risk, particularly those running versions 3.8.3 or earlier. Shared hosting environments are especially vulnerable, as attackers may be able to exploit the vulnerability through other compromised websites on the same server. Websites relying on the plugin for payment processing are also at increased risk due to the potential for data compromise and fraudulent transactions.
• wordpress / composer / npm:
wp plugin list | grep payu• wordpress / composer / npm:
wp plugin update payu-commercepro-plugin• wordpress / composer / npm:
grep -r 'wp_create_user' /var/www/html/wp-content/plugins/payu-commercepro-plugin/• generic web:
Check WordPress access logs for requests to /wp-json/payu/v1/generate-user-token and /wp-json/payu/v1/get-shipping-cost originating from unusual IP addresses or without proper authentication headers.
disclosure
Estado del Exploit
EPSS
0.38% (59% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-12264 es actualizar el plugin PayU CommercePro a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de mitigación adicionales. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes a los endpoints /wp-json/payu/v1/generate-user-token y /wp-json/payu/v1/get-shipping-cost que no provengan de fuentes confiables. Realizar una revisión exhaustiva del código del plugin para identificar y corregir cualquier otra posible falla de seguridad. Considerar la deshabilitación temporal de los endpoints afectados si la actualización inmediata no es posible.
Actualice el plugin PayU CommercePro a la última versión disponible. Esto solucionará la vulnerabilidad de escalada de privilegios que permite a atacantes no autenticados crear cuentas de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12264 is a critical vulnerability in the PayU CommercePro Plugin for WordPress allowing unauthenticated attackers to create admin accounts. It affects versions up to 3.8.3 and carries a CVSS score of 9.8.
You are affected if your WordPress site uses the PayU CommercePro Plugin version 3.8.3 or earlier. Check your plugin versions immediately.
Upgrade the PayU CommercePro Plugin to the latest available version as soon as a patch is released. Temporarily disable the plugin as a workaround until the update is available.
While no active exploitation has been confirmed, the high CVSS score and ease of exploitation suggest a high probability of exploitation. Monitor your systems closely.
Refer to the PayU CommercePro Plugin's official website or WordPress plugin repository for updates and advisories regarding CVE-2024-12264.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.