El plugin Webo-facto para WordPress, ampliamente utilizado para conectar sitios web con la plataforma Webo, presenta una vulnerabilidad de severidad crítica que podría permitir a atacantes tomar el control completo de sitios web afectados.
- CVE-2024-8853 (CVSS: 9.8): es una falla crítica que permite a un atacante no autenticado escalar privilegios, esto se debe a la falta de restricciones en la función doSsoAuthentification. Al registrar un nombre de usuario que contenga -wfuser, los atacantes pueden acceder a privilegios de administrador sin autorización. La explotación es bastante simple, ya que no requiere interacción del usuario ni autenticación previa.
Productos y versiones afectadas:
- Webo-facto: versiones 1.40 y anteriores.
Solución:
- Webo-facto: versión 1.41 o posterior.
Recomendaciones:
- Actualizar lo antes posible a la versión más reciente por parte del proveedor para mitigar los riesgos potenciales.
- Mantener tanto los plugins como el núcleo de WordPress actualizados para maximizar la protección contra vulnerabilidades.
- Implementar medidas de seguridad adicionales, como autenticación de doble factore, firewalls y escaneos de vulnerabilidades, puede ayudar a proteger aún más el sitio web.
Referencias: