Plataforma
wordpress
Componente
wpcom-member
Corregido en
1.5.3
La vulnerabilidad CVE-2024-7493 afecta al plugin WPCOM Member para WordPress, permitiendo una escalada de privilegios. Esta falla permite a atacantes no autenticados modificar su rol a administrador durante el proceso de registro, comprometiendo la seguridad del sitio web. La vulnerabilidad se encuentra presente en todas las versiones del plugin hasta la 1.5.2.1 inclusive. Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación.
El impacto de esta vulnerabilidad es crítico, ya que permite a un atacante no autenticado obtener acceso administrativo completo a un sitio WordPress. Esto significa que el atacante puede modificar contenido, instalar malware, robar datos sensibles de usuarios, o incluso tomar el control total del servidor. La facilidad de explotación, al no requerir autenticación previa, amplía significativamente el riesgo. Un atacante podría simplemente registrarse en el sitio y, al hacerlo, obtener privilegios de administrador, sin necesidad de credenciales o exploits complejos. Esta vulnerabilidad es particularmente preocupante porque afecta a un plugin ampliamente utilizado, lo que aumenta la superficie de ataque potencial.
La vulnerabilidad fue publicada el 6 de septiembre de 2024. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. No se ha añadido a la lista KEV de CISA hasta la fecha.
WordPress websites utilizing the WPCOM Member plugin are at risk. Specifically, sites running WordPress versions where the plugin is commonly used, and those with limited security monitoring or automated update processes, are particularly vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may also be at increased risk if updates are not promptly applied.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep wpcom-member• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status wpcom-member• wordpress / composer / npm:
wp option get admin_email #Check for unusual admin email addresses after registrationdisclosure
Estado del Exploit
EPSS
1.02% (77% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WPCOM Member a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda deshabilitar temporalmente el plugin o restringir el acceso al formulario de registro. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten manipular el proceso de registro. Monitorear los registros del servidor en busca de intentos de registro inusuales o cambios inesperados en los roles de usuario también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que el proceso de registro no permite la asignación de roles administrativos no autorizados.
Actualice el plugin WPCOM Member a la última versión disponible. La versión 1.5.2.2 o superior corrige esta vulnerabilidad de escalada de privilegios. Esto evitará que usuarios no autenticados puedan registrarse como administradores.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7493 is a critical vulnerability in the WPCOM Member plugin for WordPress allowing unauthenticated attackers to gain administrator privileges during user registration.
You are affected if your WordPress site uses the WPCOM Member plugin version 1.5.2.1 or earlier. Check your plugin version and update immediately.
Update the WPCOM Member plugin to a version higher than 1.5.2.1. If immediate upgrade is not possible, temporarily disable the plugin.
While no active exploitation has been confirmed, the vulnerability's simplicity makes it a likely target. Monitor your site closely.
Refer to the official WPCOM Member plugin website or WordPress.org plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.