Plataforma
wordpress
Componente
userpro
Corregido en
5.1.9
Se ha identificado una vulnerabilidad de Gestión Inadecuada de Privilegios (Improper Privilege Management) en el plugin DeluxeThemes UserPro, permitiendo la escalada de privilegios. Esta falla permite a atacantes obtener acceso no autorizado a funcionalidades y datos restringidos. La vulnerabilidad afecta a versiones del plugin UserPro anteriores o iguales a 5.1.8, y se ha solucionado en la versión 5.1.9.
La escalada de privilegios permite a un atacante, con acceso limitado, obtener permisos de administrador o de roles superiores dentro del sitio WordPress. Esto podría resultar en la modificación de contenido, la instalación de código malicioso, el acceso a información sensible de los usuarios (como contraseñas encriptadas, datos personales, etc.) y el control total del sitio web. Un atacante podría, por ejemplo, modificar la configuración del sitio, eliminar usuarios, o incluso comprometer la base de datos. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad del sitio.
Esta vulnerabilidad ha sido publicada recientemente (2024-06-04) y, por lo tanto, la probabilidad de explotación activa es actualmente baja, pero podría aumentar rápidamente. No se han reportado explotaciones activas a la fecha, pero la alta puntuación CVSS (9.8) indica un alto potencial de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.
Websites utilizing DeluxeThemes UserPro for user management, particularly those with custom user roles or restricted access areas, are at significant risk. Shared hosting environments where UserPro is installed on a multi-tenant server are especially vulnerable, as a compromise of one UserPro instance could potentially impact other websites on the same server.
• wordpress / composer / npm:
wp plugin list | grep UserPro• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status UserPro• wordpress / composer / npm:
grep -r 'user_can' /var/www/html/wp-content/plugins/userpro/disclosure
Estado del Exploit
EPSS
0.63% (70% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin DeluxeThemes UserPro a la versión 5.1.9 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar cualquier cambio. Como medida temporal, revise cuidadosamente los permisos de usuario y limite el acceso a las funcionalidades críticas. Implemente reglas en su firewall de aplicaciones web (WAF) para bloquear intentos de explotación conocidos, aunque esto no es una solución definitiva. Monitoree los logs del sitio en busca de actividades sospechosas.
Actualice el plugin UserPro a la última versión disponible. Si no hay una versión disponible que corrija la vulnerabilidad, considere deshabilitar o eliminar el plugin hasta que se publique una actualización segura. Consulte el sitio web del proveedor para obtener más información y actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-35700 is a critical vulnerability in DeluxeThemes UserPro allowing attackers to elevate privileges within a WordPress environment, potentially gaining unauthorized access.
You are affected if you are using DeluxeThemes UserPro version 5.1.8 or earlier. Upgrade to 5.1.9 or later to mitigate the risk.
Upgrade DeluxeThemes UserPro to version 5.1.9 or later. If immediate upgrade is not possible, restrict access to UserPro's administrative features.
As of now, there are no publicly known active exploitation campaigns, but the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the DeluxeThemes website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-35700.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.