Reportar incidente
Buscar
Cerrar este cuadro de búsqueda.

Vulnerabilidades críticas en varios plugins de WordPress

WordPress

Se han identificado varias vulnerabilidades críticas en plugins de WordPress, incluyendo wpDiscuz y AMP for WP. Es esencial que los administradores actualicen los plugins y refuercen la seguridad para proteger sus sitios web contra posibles ataques.

WordPress
Figura 1. Imagen ilustrativa relativa a WordPress. Tomado de [1].

Recientemente, se han identificado vulnerabilidades críticas en varios plugins de WordPress que representan serios riesgos para la seguridad de los sitios web. Estas fallas podrían permitir que atacantes ejecuten acciones maliciosas en sitios comprometidos, comprometiendo tanto la integridad como la seguridad de la plataforma.

Es fundamental que los administradores de sitios mantengan sus plugins actualizados y estén al tanto de las recomendaciones de seguridad para minimizar posibles amenazas.

Acerca de las vulnerabilidades
CVE-2024-9488 (CVSS 9.8): Autenticación Bypass en Comments – wpDiscuz
La vulnerabilidad CVE-2024-9488 afecta al plugin wpDiscuz, utilizado por más de 80,000 sitios web para mejorar la interacción en los comentarios. Esta vulnerabilidad permite a atacantes no autenticados eludir la autenticación y acceder a cuentas de usuario, incluyendo aquellas con privilegios administrativos. El problema radica en la verificación insuficiente de las identidades de los usuarios durante el proceso de inicio de sesión social [1]. La explotación de esta vulnerabilidad podría permitir a los atacantes tomar control total del sitio, modificar contenido, instalar plugins maliciosos o bloquear a usuarios legítimos [2].

CVE-2024-9598 (CVSS 8.8): Cross-Site Request Forgery en AMP for WP – Accelerated Mobile Pages
La vulnerabilidad CVE-2024-9598 afecta al plugin AMP for WP, utilizado para optimizar el rendimiento de las páginas móviles aceleradas. Esta vulnerabilidad se debe a la falta de validación adecuada del token en la función ‘proxy’, lo que permite a atacantes no autenticados enviar las cookies del usuario a su propio servidor mediante una solicitud falsificada [3]. Para que esta explotación sea posible, el atacante debe engañar a un administrador del sitio para que realice una acción, como hacer clic en un enlace [4]. La explotación exitosa de esta vulnerabilidad podría resultar en el robo de datos y la ejecución de acciones no autorizadas en el sitio web.

CVE-2024-9893 (CVSS 9.8): Autenticación Bypass en Nextend Social Login Pro
La vulnerabilidad CVE-2024-9893 afecta al plugin Nextend Social Login Pro, utilizado para facilitar el inicio de sesión social en WordPress. Esta vulnerabilidad permite a atacantes no autenticados eludir la autenticación y acceder a cuentas de usuario debido a una verificación insuficiente del token de inicio de sesión social [5]. La explotación de esta vulnerabilidad podría permitir a los atacantes acceder a cuentas de usuario, incluyendo aquellas con privilegios administrativos [6].

CVE-2024-9863 (CVSS 9.8): Escalación de Privilegios en Miniorange OTP Verification with Firebase
La vulnerabilidad CVE-2024-9863 afecta al plugin Miniorange OTP Verification with Firebase, utilizado para la verificación de usuarios mediante OTP. Esta vulnerabilidad permite a atacantes no autenticados registrar una cuenta de administrador debido a un valor predeterminado inseguro para la opción ‘default_user_role’ [7]. La explotación de esta vulnerabilidad podría permitir a los atacantes tomar control total del sitio [8].

CVE-2024-9862 (CVSS 9.8): Cambio Arbitrario de Contraseña en Miniorange OTP Verification with Firebase
La vulnerabilidad CVE-2024-9862 afecta al plugin Miniorange OTP Verification with Firebase, utilizado para la verificación de usuarios mediante OTP. Esta vulnerabilidad permite a atacantes no autenticados cambiar las contraseñas de los usuarios debido a la falta de verificación adecuada de la contraseña actual del usuario [9]. La explotación de esta vulnerabilidad podría permitir a los atacantes tomar control de cuentas de usuario, incluyendo aquellas con privilegios administrativos [10].

CVE-2024-9263 (CVSS 9.8): Toma de Control de Cuenta en WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling
La vulnerabilidad CVE-2024-9263 afecta al plugin WP Timetics, utilizado para la gestión de citas y reservas en línea. Esta vulnerabilidad permite a atacantes no autenticados tomar control de cuentas de usuario y escalar privilegios debido a una referencia directa insegura a objetos. La vulnerabilidad se encuentra en la función save(), que carece de validación en una clave controlada por el usuario. Esto hace posible que atacantes no autenticados restablezcan los correos electrónicos y contraseñas de cuentas de usuario arbitrarias, incluyendo administradores [11]. La explotación de esta vulnerabilidad podría permitir a los atacantes tomar control de cuentas de usuario y escalar privilegios [12].

Productos y versiones afectadas

Tabla 1. Productos y versiones afectadas

CVE Producto Afectado Versión Afectada Solución 
CVE-2024-9588 Comments – wpDiscuz plugin Versiones menores o iguales a la 7.6.24 Actualizar a la versión 7.6.25 
CVE-2024-9598 AMP for WP – Accelerated Mobile Pages plugin Versiones menores o iguales a la 1.0.99.1 Actualizar a la versión 1.0.99.2 o posterior 
CVE-2024-9893 Nextend Social Login Pro plugin Versiones menores o iguales a la 3.1.14 Actualizar a la versión 3.1.15 o posterior 
CVE-2024-9863 Miniorange OTP Verification with Firebase plugin Versiones menores o iguales a la 3.6.0 Actualizar a la versión 3.6.1 o posterior 
CVE-2024-9862 
CVE-2024-9263 WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling Plugin Versiones menores o iguales a la 1.0.25 Actualizar a la versión 1.0.26 o posterior 

Recomendaciones 

  • Aplique de inmediato las actualizaciones de seguridad recomendadas para todos los plugins instalados. 
  • Revise y ajuste la configuración de autenticación y seguridad de cada plugin activo. 
  • Realice auditorías de seguridad de forma periódica en los plugins de WordPress para detectar posibles vulnerabilidades. 
  • Refuerce las medidas de autenticación, implementando opciones adicionales para prevenir accesos no autorizados. 
  • Revise y actualice los roles de usuario predeterminados para asegurar que cada perfil cuente con los permisos apropiados. 
  • Supervise y actualice los plugins de WordPress regularmente para mantener un alto nivel de seguridad en el sitio. 

Referencia:

[1] Wordfence Intelligence, «Comments – wpDiscuz <= 7.6.24 – Authentication Bypass,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpdiscuz/comments-wpdiscuz-7624-authentication-bypass.
[2] NIST, «NVD – CVE-2024-9488,» [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2024-9488.
[3] Wordfence Intelligence, «AMP for WP – Accelerated Mobile Pages <= 1.0.99.1 – Cross-Site Request Forgery to Privilege Escalation,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/accelerated-mobile-pages/amp-for-wp-accelerated-mobile-pages-10991-cross-site-request-forgery-to-privilege-escalation.
[4] NIST, «NVD – CVE-2024-9598,» [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2024-9598.
[5] Wordfence Intelligence, «Nextend Social Login Pro <= 3.1.14 – Authentication Bypass,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/nextend-social-login-pro/nextend-social-login-pro-3114-authentication-bypass.
[6] NIST, «NVD – CVE-2024-9893,» [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2024-9893.
[7] Wordfence Intelligence, «Miniorange OTP Verification with Firebase <= 3.6.0 – Privilege Escalation via Registration due to Administrator Default User Role Value,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/miniorange-firebase-sms-otp-verification/miniorange-otp-verification-with-firebase-360-privilege-escalation-via-registration-due-to-administrator-default-user-role-value.
[8] CVE Record, «CVE-2024-9863,» [En línea]. Available: https://www.cve.org/CVERecord?id=CVE-2024-9863.
[9] Wordfence Intelligence, «Miniorange OTP Verification with Firebase <= 3.6.0 – Unauthenticated Arbitrary User Password Change,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/miniorange-firebase-sms-otp-verification/miniorange-otp-verification-with-firebase-360-unauthenticated-arbitrary-user-password-change.
[10] NIST, «NVD – CVE-2024-9862,» [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2024-9862.
[11] Wordfence Intelligence , «WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling Plugin <= 1.0.25 – Insecure Direct Object Reference to Unauthenticated Arbitrary User Password/Email Reset/Account Takeover,» [En línea]. Available: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/timetics/wp-timetics-ai-powered-appointment-booking-calendar-and-online-scheduling-plugin-1025-insecure-direct-object-reference-to-unauthenticated-arbitrary-user-passwordemail-reseta.
[12] NIST, «NVD – CVE-2024-9263,» [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2024-9263.
Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

WEBINARS DE METARED
WEBINARS DE CSIRT-CEDIA

HispaSEC

Packet storm security

Síguenos
Twitter
Suscríbete

Recibe nuestro boletín para mantenerte actualizado

Equipo de Respuesta a Incidentes de seguridad de cedia

Twitter
SOC-CSIRT CEDIA
Links de interés
Ver consentimiento de datos personales
ISO IEC 27001 2022

Copyright ©2024 CSIRT. Powered by CEDIA.