Plataforma
wordpress
Componente
post-meta-data-manager
Corregido en
1.4.4
1.4.5
El plugin Post Meta Data Manager para WordPress presenta una vulnerabilidad de elevación de privilegios en entornos multisitio. Esta falla se debe a una verificación inadecuada de la instalación multisitio, lo que permite a atacantes autenticados con privilegios de administrador acceder y modificar metadatos en subsitios que normalmente estarían fuera de su alcance. Las versiones afectadas son aquellas iguales o inferiores a 1.4.4. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación temporales.
Esta vulnerabilidad permite a un atacante autenticado con privilegios de administrador en un sitio WordPress multisitio escalar sus privilegios para acceder y modificar metadatos en subsitios a los que normalmente no tendría acceso. Esto podría resultar en la manipulación de contenido, la alteración de la configuración del sitio o incluso el acceso no autorizado a datos sensibles almacenados en los metadatos. Un atacante podría, por ejemplo, modificar los metadatos de un subsitio para redirigir a los usuarios a un sitio malicioso o para inyectar código malicioso en el sitio. La falta de una validación adecuada de la instalación multisitio es la raíz del problema, permitiendo la explotación de esta brecha de seguridad.
Esta vulnerabilidad ha sido publicada el 7 de marzo de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad en un plugin popular de WordPress la convierte en un objetivo potencial. Se recomienda monitorear la situación y aplicar las medidas de mitigación necesarias. La vulnerabilidad no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.
WordPress multisite installations using the Post Meta Data Manager plugin are at risk. Specifically, sites with a large number of subsites or those with less stringent user access controls are more vulnerable. Shared hosting environments where plugin updates are not managed by the user also face increased risk.
• wordpress / composer / npm:
grep -r 'wp_kses_post' /var/www/html/wp-content/plugins/post-meta-data-manager/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Post Meta Data Manager'• wordpress / composer / npm:
wp plugin update --alldisclosure
Estado del Exploit
EPSS
0.22% (45% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar el plugin Post Meta Data Manager a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación temporales. Estas podrían incluir restringir el acceso a la funcionalidad de modificación de metadatos solo a usuarios con roles específicos y altamente confiables. Además, se puede considerar la implementación de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas dirigidas a la vulnerabilidad. Revise regularmente los logs del sitio en busca de actividad sospechosa relacionada con la modificación de metadatos.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-13835 is a vulnerability in the Post Meta Data Manager plugin for WordPress that allows authenticated administrators to gain elevated privileges on subsites within a multisite installation.
You are affected if you are using the Post Meta Data Manager plugin in a WordPress multisite environment and are running a version equal to or less than 1.4.4.
Upgrade the Post Meta Data Manager plugin to a version greater than 1.4.4. This resolves the privilege escalation vulnerability.
As of the current date, there are no known public exploits or active campaigns targeting CVE-2024-13835.
Refer to the plugin developer's website or WordPress.org plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.