Plataforma
wordpress
Componente
wpgym
Corregido en
67.1.1
La vulnerabilidad CVE-2024-9941 es una escalada de privilegios que afecta al plugin WPGYM - Wordpress Gym Management System para WordPress. Esta falla permite a atacantes autenticados, con un nivel de acceso de suscriptor o superior, crear nuevas cuentas de usuario con el rol de administrador, comprometiendo la seguridad del sitio web. La vulnerabilidad afecta a todas las versiones hasta la 67.1.0, y se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante con privilegios de suscriptor obtener control administrativo completo sobre el sitio WordPress. Esto podría resultar en la modificación o eliminación de contenido, la instalación de malware, el acceso a datos sensibles de usuarios (como información de membresía y datos de contacto), y la toma del control total del sitio web. Un atacante podría usar esta escalada para realizar ataques de phishing dirigidos a otros usuarios, o para utilizar el sitio como punto de partida para ataques a otros sistemas en la red. La facilidad de explotación, combinada con la prevalencia de WordPress, hace que esta vulnerabilidad sea particularmente preocupante.
CVE-2024-9941 fue publicado el 23 de noviembre de 2024. Actualmente no se ha reportado explotación activa en la naturaleza, pero la facilidad de explotación y la amplia base de usuarios de WordPress sugieren que podría ser un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad. No se ha añadido a KEV al momento de esta redacción.
Websites utilizing the WPGYM WordPress Gym Management System plugin, particularly those with subscriber-level users who have access to manage gym staff or members, are at risk. Shared hosting environments where multiple WordPress sites share the same server resources are also at increased risk, as a compromise on one site could potentially be leveraged to attack others.
• wordpress / composer / npm:
wp plugin list | grep WPGYM• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'MJ_gmgt_add_staff_member' /var/www/html/wp-content/plugins/wpgym/• wordpress / composer / npm:
wp plugin status wpgymdisclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin WPGYM a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda limitar los privilegios de los usuarios con acceso de suscriptor, restringiendo su capacidad de crear nuevos usuarios. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear intentos de creación de usuarios con roles administrativos no autorizados. Monitorear los registros de WordPress en busca de actividad sospechosa, como la creación de usuarios con roles inusuales, también puede ayudar a detectar y responder a posibles ataques.
Actualice el plugin WPGYM - Wordpress Gym Management System a la última versión disponible. La vulnerabilidad permite a usuarios autenticados con nivel de suscriptor o superior crear cuentas de administrador, lo que puede comprometer la seguridad del sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-9941 is a privilege escalation vulnerability in the WPGYM WordPress plugin, allowing subscribers to create admin accounts.
You are affected if you are using WPGYM plugin versions 67.1.0 or earlier.
Upgrade the WPGYM plugin to the latest version that includes the security fix.
Active exploitation is not yet confirmed, but the vulnerability's simplicity warrants close monitoring.
Refer to the WPGYM plugin website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.