WordPress es una plataforma de gestión de contenidos ampliamente utilizada que permite a los usuarios crear y gestionar sitios web de manera eficiente. Recientemente, se ha identificado una vulnerabilidad crítica en el complemento Echo RSS Feed Post Generator, que podría permitir a atacantes no autenticados escalar privilegios y registrarse como administradores. Esta vulnerabilidad afecta a todos los usuarios que utilicen este complemento en sus sitios, lo que pone en riesgo la seguridad de sus datos y la integridad de sus sistemas.
- CVE-2024-9265 (CVSS 9.8): La vulnerabilidad se debe a una gestión inadecuada de los privilegios en la función echo_check_post_header_sent(), que no restringe los roles que se pueden asignar durante el registro de usuarios. Esto permite que un atacante no autenticado obtenga privilegios de administrador en sitios WordPress afectados, comprometiendo por completo la seguridad del sistema.
Productos y versiones afectadas:
- Todas las versiones hasta la 5.4.6 incluida del complemento Echo RSS Feed Post Generator para WordPress.
Solución:
- Actualizar a la versión 5.4.7 o posterior del complemento Echo RSS Feed Post Generator para WordPress.
Recomendaciones:
- Actualizar el complemento Echo RSS Feed Post Generator a la versión parcheada lo antes posible
- Revisar y ajustar los roles y privilegios de los usuarios registrados en el sistema.
- Configurar medidas adicionales de seguridad en WordPress para prevenir la creación no autorizada de cuentas de administrador.
Referencias:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/rss-feed-post-generator-echo/echo-rss-feed-post-generator-546-unauthenticated-privilege-escalation
- https://www.cvefind.com/en/cve/CVE-2024-9265.html
- https://nvd.nist.gov/vuln/detail/CVE-2024-9265