Plataforma
wordpress
Componente
industrial
Corregido en
1.7.9
El tema Industrial para WordPress presenta una vulnerabilidad de escalada de privilegios debido a la falta de una verificación de capacidad en la función ajaxgettotalcontentimportitems(). Esta falla permite a atacantes autenticados con privilegios de suscriptor o superiores modificar opciones arbitrarias en el sitio WordPress. Las versiones afectadas son aquellas iguales o inferiores a 1.7.8. Se recomienda actualizar el tema a la última versión disponible para mitigar el riesgo.
Esta vulnerabilidad permite a un atacante autenticado, con un nivel de acceso de suscriptor o superior, actualizar opciones arbitrarias en el sitio WordPress. El impacto más grave es la posibilidad de modificar la configuración predeterminada del rol de registro para permitir que los atacantes se registren como administradores. Esto les otorgaría acceso completo al sitio, permitiéndoles modificar contenido, instalar plugins maliciosos, robar datos sensibles o incluso tomar el control total del servidor. La falta de una verificación adecuada de permisos abre una puerta trasera para la escalada de privilegios, similar a vulnerabilidades que han afectado a otros temas y plugins de WordPress en el pasado, comprometiendo la integridad y confidencialidad del sitio web.
Esta vulnerabilidad fue publicada el 14 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA ni se conocen campañas de explotación activas en este momento. La disponibilidad de un PoC público podría aumentar el riesgo de explotación, por lo que se recomienda aplicar las mitigaciones lo antes posible. La vulnerabilidad se considera de alta severidad debido a su potencial para escalar privilegios y comprometer la seguridad del sitio.
WordPress sites utilizing the Industrial theme, particularly those with subscriber-level users enabled and lacking robust role-based access controls, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r '_ajax_get_total_content_import_items()' /var/www/html/wp-content/themes/industrial/• wordpress / composer / npm:
wp plugin list --status=all | grep industrial• wordpress / composer / npm:
wp theme list --status=all | grep industrialdisclosure
Estado del Exploit
EPSS
0.15% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el tema Industrial a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso a la función ajaxgettotalcontentimportitems() mediante un plugin de seguridad que implemente reglas de firewall (WAF) para bloquear solicitudes no autorizadas. Además, revise cuidadosamente los permisos de usuario y asegúrese de que solo los administradores tengan acceso a la configuración crítica del sitio. Monitoree los registros del sitio en busca de actividades sospechosas, como intentos de modificación de opciones por parte de usuarios con privilegios limitados.
Actualice el tema Industrial a la última versión disponible. Esto corregirá la vulnerabilidad de autorización que permite a usuarios autenticados con privilegios de suscriptor o superiores modificar opciones arbitrarias en el sitio de WordPress.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13376 is a HIGH severity vulnerability in the Industrial WordPress theme allowing authenticated subscribers to gain administrative privileges due to a missing capability check.
You are affected if you are using the Industrial WordPress theme version 1.7.8 or earlier. Check your theme version and upgrade immediately.
Upgrade the Industrial WordPress theme to the latest available version. As a temporary workaround, restrict access to the vulnerable endpoint using a security plugin or custom code.
There is currently no evidence of active exploitation, but the vulnerability's potential impact warrants immediate attention and mitigation.
Refer to the Industrial WordPress theme developer's website or the WordPress.org plugin repository for official advisories and updates related to CVE-2024-13376.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.