Plataforma
wordpress
Componente
indeed-membership-pro
Corregido en
12.6.1
Se ha identificado una vulnerabilidad de Elevación de Privilegios (Privilege Escalation) en el plugin Ultimate Membership Pro para WordPress. Esta falla permite a atacantes obtener acceso no autorizado a funcionalidades y datos sensibles. La vulnerabilidad afecta a versiones del plugin desde la versión desconocida hasta la 12.6, siendo corregida en la versión 12.6.1. Se recomienda actualizar el plugin a la última versión disponible lo antes posible.
La vulnerabilidad de Elevación de Privilegios en Ultimate Membership Pro permite a un atacante, con acceso limitado al sistema, escalar sus privilegios para obtener control total sobre la instalación de WordPress y los datos asociados. Esto podría incluir la modificación o eliminación de contenido, acceso a información confidencial de usuarios, e incluso la ejecución de código malicioso en el servidor. El impacto potencial es significativo, especialmente en entornos donde el plugin se utiliza para gestionar membresías y acceso a contenido restringido. Un atacante podría, por ejemplo, acceder a información de pago de los usuarios o modificar los roles de administrador, comprometiendo la integridad del sitio web.
La vulnerabilidad CVE-2024-43240 fue publicada el 19 de agosto de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la alta puntuación CVSS (9.4) indica un riesgo significativo. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
WordPress sites utilizing the Ultimate Membership Pro plugin, particularly those running versions prior to 12.6.1, are at significant risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to lateral movement and compromise of other sites on the same server.
• wordpress / composer / npm:
wp plugin list | grep Ultimate Membership Pro• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'azzaroco Ultimate Membership Pro' /var/log/apache2/access.log• wordpress / composer / npm:
wp option get membership_settingsdisclosure
patch
kev
Estado del Exploit
EPSS
0.57% (68% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Ultimate Membership Pro a la versión 12.6.1 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, revise y restrinja los permisos de usuario dentro del plugin, limitando el acceso a las funcionalidades críticas. Implemente reglas en su firewall de aplicaciones web (WAF) para bloquear intentos de explotación conocidos, aunque esto no es una solución definitiva. Monitoree los logs del servidor en busca de actividad sospechosa relacionada con el plugin.
Actualice el plugin Indeed Ultimate Membership Pro a la última versión disponible. La vulnerabilidad de escalada de privilegios permite a usuarios no autenticados obtener acceso no autorizado. La actualización corrige esta vulnerabilidad y protege su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43240 is a critical vulnerability in Ultimate Membership Pro allowing attackers to gain elevated privileges, potentially compromising the entire WordPress site. It affects versions up to 12.6.
Yes, if you are using Ultimate Membership Pro version 12.6 or earlier, you are vulnerable to this Privilege Escalation exploit.
Upgrade Ultimate Membership Pro to version 12.6.1 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict access to administrative features.
While no public exploits are currently available, the vulnerability has been added to the CISA KEV catalog, indicating a medium probability of exploitation.
Refer to the official Ultimate Membership Pro website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.