Los errores del complemento de WordPress para miembros definitivos permiten a los piratas informáticos tener privilegios de administrador

O Wordfence’s Inteligencia de amenazas equipo informó tres vulnerabilidades críticas en un complemento de WordPress que pone en riesgo a casi 100.000 sitios.

Nombrado como Último miembro, este complemento está destinado a definir varios niveles de acceso para los visitantes del sitio. Los tres Los errores informados pueden permitir que cualquier persona con un acceso mínimo obtenga privilegios de administrador. Hay disponible un parche para estos errores.

El complemento de WordPress pone en riesgo 100.000 sitios web.

Los errores del complemento de WordPress para miembros definitivos permiten a los piratas informáticos tener privilegios de administrador
Errores del complemento de WordPress para miembros definitivos

Uno de los complementos populares de WordPress, Miembro Senior, se informó que tenía tres vulnerabilidades clasificadas de graves a graves. El equipo de inteligencia de amenazas de Wordfence, que previamente detectó errores similares en el boletín, complementos del kit del sitio de Google, los documentó. Ellos dijeron dos de los tres errores tienen una puntuación de gravedad de 10/10 y el otro, 9,8 / 10.

Los piratas informáticos pueden explotar los tres errores para obtener privilegios escalados, dos por usuarios no autenticados (por lo tanto, gravedad 10/10) y uno por usuarios autenticados (por lo tanto, puntuación de 9,8 / 10).

Se encuentra en el complemento Ultimate Member y se utiliza para administrar la asociación de usuarios con el sitio. Puede controlar los permisos otorgados a los usuarios, como permitir que solo los suscriptores pagos vean contenido exclusivo, etc.

O informe dijo Los errores de alta gravedad permitirían a los usuarios no autenticados, como aquellos que hacen ping a través de formularios de contacto, obtener privilegios de administrador para el sitio.

Además, el error autenticado requiere que el atacante acceda a la página wp-admin y le otorgue privilegios de administrador. Llegar a ellos significa tener derecho a hacer lo que quieran con el sitio.

Como describió Wordfence, cualquier usuario con privilegios de administrador puede instalar el complemento deseado, eliminar cualquier característica, cambiar otras funciones, infectar con malware e incluso eliminar el sitio por completo.

Estos errores se informaron al equipo de Ultimate Member el 26 de octubre y respondieron con una actualización de parche el 29 de octubre. Se recomienda actualizar a última versión de 2.1.12.

Artículos relacionados