Plataforma
wordpress
Componente
wishlist-member-x
Corregido en
3.26.7
3.26.7
El plugin Wishlist Member para WordPress es vulnerable a una ejecución remota de código (RCE). Esta vulnerabilidad permite a atacantes autenticados, con privilegios de Suscriptor o superiores, ejecutar código arbitrario en el servidor. Las versiones afectadas son todas las versiones anteriores a la 3.26.7. La vulnerabilidad fue publicada el 20 de junio de 2024 y se ha lanzado una actualización para solucionarla.
Un atacante con acceso de Suscriptor o superior en un sitio WordPress que utiliza Wishlist Member puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor. Esto podría resultar en la toma de control completa del sitio web, robo de datos sensibles (como información de usuarios, datos de comercio electrónico, o contenido confidencial), modificación del contenido del sitio, o incluso el uso del servidor para lanzar ataques a otros sistemas. La capacidad de ejecutar código arbitrario en el servidor representa un riesgo crítico para la seguridad del sitio web y sus usuarios.
Esta vulnerabilidad ha sido publicada públicamente y podría ser explotada rápidamente. No se ha confirmado la explotación activa en la naturaleza, pero la alta puntuación CVSS (9.9) indica un alto riesgo. Es importante aplicar la actualización lo antes posible para evitar posibles ataques. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
WordPress websites utilizing the Wishlist Member plugin, particularly those with a large number of Subscriber-level users or those lacking robust access controls, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
wp plugin list --status=active | grep Wishlist Member• wordpress / composer / npm:
wp plugin update --all• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/wishlist-member/ | grep 'Wishlist Member'• generic web: Check WordPress plugin directory for version 3.26.7 or higher.
disclosure
Estado del Exploit
EPSS
0.85% (75% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Wishlist Member a la versión 3.26.7 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede restringir el acceso a las funciones del plugin que podrían ser explotadas, aunque esto puede afectar la funcionalidad del sitio. Monitoree los logs del servidor en busca de actividad sospechosa relacionada con Wishlist Member.
Actualizar a la versión 3.26.7, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37109 is a critical Remote Code Execution vulnerability in the Wishlist Member WordPress plugin, allowing authenticated attackers to execute code on the server.
You are affected if you are using Wishlist Member WordPress plugin versions prior to 3.26.7. Check your plugin version immediately.
Upgrade the Wishlist Member plugin to version 3.26.7 or later. If immediate upgrade is not possible, restrict access and implement WAF rules.
While no active exploitation campaigns have been confirmed, the ease of exploitation suggests a high likelihood of exploitation attempts.
Refer to the Wishlist Member website and WordPress plugin directory for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.