Plataforma
wordpress
Componente
wp-video-robot
Corregido en
1.20.1
La vulnerabilidad CVE-2024-9192 afecta al plugin WordPress Video Robot - The Ultimate Video Importer. Esta vulnerabilidad de escalada de privilegios permite a atacantes autenticados, con un nivel de acceso de suscriptor o superior, obtener privilegios de administrador. La vulnerabilidad se encuentra presente en todas las versiones hasta la 1.20.0. Se recomienda actualizar el plugin a la última versión disponible o aplicar medidas de mitigación temporales.
Un atacante con acceso de suscriptor o superior puede explotar esta vulnerabilidad para actualizar sus metadatos de usuario en el sitio WordPress. Esta manipulación permite al atacante modificar sus capacidades, otorgándose efectivamente el rol de administrador. Esto le daría control total sobre el sitio, incluyendo la capacidad de instalar plugins, modificar contenido, eliminar usuarios y acceder a datos sensibles. La falta de validación adecuada en la función wpvrraterequest_result() es la causa raíz de esta escalada de privilegios, permitiendo la manipulación de los permisos del usuario.
Esta vulnerabilidad fue publicada el 16 de noviembre de 2024. No se han reportado campañas de explotación activas a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un proof-of-concept público podría aumentar el riesgo de explotación.
Websites using the WordPress Video Robot plugin, particularly those with subscriber-level users who have access to modify site content or settings, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to lateral movement to others.
• wordpress / composer / npm:
wp plugin list | grep 'Video Robot'• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'wpvr_rate_request_result' /var/www/html/wp-content/plugins/video-robot/• wordpress / composer / npm:
wp plugin status | grep 'Video Robot'disclosure
Estado del Exploit
EPSS
0.20% (43% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WordPress Video Robot - The Ultimate Video Importer a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso de los usuarios con privilegios de suscriptor o superiores. Además, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten modificar los metadatos del usuario de forma sospechosa. Monitorear los logs del sitio WordPress en busca de intentos de modificación de permisos puede ayudar a detectar actividad maliciosa.
Actualice el plugin WordPress Video Robot a la última versión disponible. Esto solucionará la vulnerabilidad de escalada de privilegios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9192 is a vulnerability allowing authenticated subscribers to gain administrator privileges in the WordPress Video Robot plugin, potentially compromising site control.
You are affected if you are using WordPress Video Robot plugin version 1.20.0 or earlier. Check your plugin version and update immediately.
Update the WordPress Video Robot plugin to a version newer than 1.20.0. This patch resolves the privilege escalation vulnerability.
While no public exploits are currently available, the ease of exploitation suggests a potential for active exploitation. Monitor your site for suspicious activity.
Refer to the plugin developer's website or WordPress.org plugin page for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.