Plataforma
wordpress
Componente
salesking
Corregido en
1.6.16
La vulnerabilidad CVE-2024-22157, clasificada como Escalada de Privilegios, afecta al sistema SalesKing. Esta falla permite a un atacante obtener acceso no autorizado y potencialmente comprometer la seguridad de la aplicación. La vulnerabilidad se encuentra presente en versiones de SalesKing desde la versión n/a hasta la 1.6.15. Se recomienda actualizar a la versión 1.6.16 para mitigar el riesgo.
La explotación de esta vulnerabilidad de Escalada de Privilegios en SalesKing podría permitir a un atacante obtener acceso administrativo completo al sistema. Esto implica la capacidad de modificar datos sensibles, instalar software malicioso, crear cuentas de usuario con privilegios elevados y, en última instancia, controlar completamente el servidor donde se ejecuta SalesKing. El impacto potencial es significativo, especialmente en entornos donde SalesKing se utiliza para gestionar información crítica de clientes o transacciones financieras. La falta de controles adecuados de acceso podría permitir a un atacante comprometer la integridad y confidencialidad de los datos almacenados.
La vulnerabilidad CVE-2024-22157 fue publicada el 17 de mayo de 2024. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. No se ha añadido a KEV a la fecha.
Organizations using SalesKing for customer relationship management or sales tracking are at significant risk. Specifically, those running older versions of SalesKing (≤1.6.15) and those with limited security monitoring or patching practices are particularly vulnerable. Shared WordPress hosting environments are also at increased risk, as a compromised SalesKing plugin on one site could potentially impact other sites on the same server.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep SalesKing• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status SalesKing• wordpress / composer / npm:
grep -r 'SalesKing' /var/www/html/wp-content/plugins/disclosure
Estado del Exploit
EPSS
0.52% (67% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-22157 es actualizar SalesKing a la versión 1.6.16 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a la aplicación solo a usuarios autorizados y fortalecer las políticas de contraseñas. Implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de explotación de la vulnerabilidad también puede ayudar a reducir el riesgo. Revise los logs de acceso y auditoría para detectar actividades sospechosas.
Actualice el plugin SalesKing a la última versión disponible. La vulnerabilidad de escalada de privilegios no autenticada se soluciona en versiones posteriores a la 1.6.15. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'SalesKing' para actualizarlo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-22157 is a critical vulnerability in SalesKing allowing attackers to gain elevated privileges, potentially compromising the entire WordPress site. It affects versions up to 1.6.15.
Yes, if you are using SalesKing version 1.6.15 or earlier, you are affected by this vulnerability and should upgrade immediately.
Upgrade SalesKing to version 1.6.16 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting access based on user roles.
As of now, there are no publicly known exploits, but the CRITICAL severity suggests a high likelihood of exploitation if a suitable exploit is developed.
Refer to the official SalesKing website or their WordPress plugin page for the latest security advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.