Vulnerabilidad en el complemento ProfileGrid para WordPress

El complemento ProfileGrid de WordPress proporciona a los usuarios una forma para desarrollar perfiles de usuario con características como grupos, comunidades y membresías de pago. También puede crear directorios, restringir contenido, configurar páginas de registro, enviar notificaciones, habilitar la actividad social y la mensajería privada.

Sin embargo, este producto se ha visto vulnerable a un ataque que compromete la seguridad del complemento y a los usuarios.

Detalle de vulnerabilidades

  • CVE-2023-3714 → Puntaje base CVSS: 7.5 (Alta)

Esta vulnerabilidad de tipo “escalada de privilegios” se debe a la falta de verificación de capacidad en el controlador ‘edit_group’. Esto significa que los atacantes autenticados que administren un grupo pueden actualizar las opciones del mismo, incluyendo el parámetro ‘associate_role’, que define el rol del miembro.

Productos y Versiones afectadas

ProfileGrid Plugin en la versión 5.5.2 y anteriores.

Solución

Actualizar el complemento a la versión 5.5.3 o posterior.

Recomendaciones

Se recomienda a los usuarios que actualicen a la última versión del producto para mitigar los riesgos potenciales.

Referencias

Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: