Plataforma
wordpress
Componente
biagiotti-membership
Corregido en
1.0.3
La vulnerabilidad CVE-2024-12287 afecta al plugin Biagiotti Membership para WordPress, permitiendo un bypass de autenticación. Esta falla permite a atacantes no autenticados acceder al sistema y potencialmente comprometer cuentas de usuario, incluyendo la de administrador. La vulnerabilidad se encuentra presente en todas las versiones hasta la 1.0.2. Se recomienda actualizar el plugin a la última versión disponible para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede obtener acceso no autorizado a cuentas de usuario dentro del sistema Biagiotti Membership. Esto incluye la posibilidad de acceder a datos sensibles, modificar configuraciones, e incluso tomar el control total del sitio WordPress. El impacto es particularmente grave si la cuenta de administrador es comprometida, ya que esto podría permitir al atacante realizar cambios maliciosos en todo el sitio web. La facilidad de explotación, al no requerir autenticación previa, aumenta significativamente el riesgo de ataque.
CVE-2024-12287 fue publicado el 18 de diciembre de 2024. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la facilidad de explotación y la gravedad de la vulnerabilidad sugieren un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. No se ha añadido a KEV al momento de esta redacción.
WordPress websites utilizing the Biagiotti Membership plugin, particularly those running versions prior to 1.0.2, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with weak password policies or lacking multi-factor authentication are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep biagiotti-membership• wordpress / composer / npm:
wp plugin update biagiotti-membership --all• wordpress / composer / npm:
grep -r 'if ( ! is_user_logged_in() )' /var/www/html/wp-content/plugins/biagiotti-membership/*• generic web: Check WordPress plugin directory for updated version.
disclosure
Estado del Exploit
EPSS
0.26% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-12287 es actualizar el plugin Biagiotti Membership a la última versión disponible, que corrige la vulnerabilidad de bypass de autenticación. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se recomienda limitar el acceso a la función de restablecimiento de contraseña y monitorear los registros del sitio en busca de intentos de inicio de sesión sospechosos. Verifique la actualización ejecutando una prueba de inicio de sesión con una cuenta de usuario no administrativa después de la actualización.
Actualice el plugin Biagiotti Membership a la última versión disponible. La vulnerabilidad permite la omisión de la autenticación, por lo que es crucial actualizar para evitar accesos no autorizados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12287 is a critical vulnerability in the Biagiotti Membership WordPress plugin allowing attackers to bypass authentication and potentially log in as administrators.
Yes, if you are using Biagiotti Membership plugin versions 1.0.2 or earlier, you are affected by this authentication bypass vulnerability.
Update the Biagiotti Membership plugin to the latest version available to patch the authentication bypass vulnerability. Consider temporary restrictions if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are known, the CRITICAL severity and ease of exploitation suggest a high probability of exploitation.
Refer to the WordPress plugin directory and Biagiotti Membership's official website for updates and advisories regarding CVE-2024-12287.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.