Se han descubierto vulnerabilidades críticas en dos plugins de WordPress que suponen importantes riesgos de seguridad, ya que podrían permitir a los atacantes ejecutar acciones maliciosas en el sitio web comprometido.
- CVE-2024-9488 (CVSS 9.8): El plugin Comments – wpDiscuz, presenta una vulnerabilidad de omisión de autenticación. Debido a una verificación insuficiente del usuario, esta falla permite que atacantes inicien sesión como cualquier otro usuario existente del sitio, incluyendo administradores, si poseen el correo electrónico asociado y el usuario no tiene una cuenta preexistente en el servicio de autenticación.
- CVE-2024-9598 (CVSS 8.8): La vulnerabilidad en el plugin AMP for WP – Accelerated Mobile Pages, permite a atacantes enviar las cookies de un usuario autenticado al servidor del atacante. Esta explotación es posible debido a una validación incorrecta del token en la función ‘proxy’ y requiere que el administrador del sitio haga clic en un enlace malicioso.
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2024-9488 | Comments – wpDiscuz plugin. | Versiones menores o iguales a la 7.6.24. | Actualizar a la versión 7.6.25. |
| CVE-2024-9598 | AMP for WP – Accelerated Mobile Pages plugin. | Versiones menores o iguales a la 1.0.99.1. | Actualizar a la versión 1.0.99.2 o posterior. |
Recomendaciones:
- Implementar inmediatamente las actualizaciones de seguridad recomendadas para ambos plugins.
- Verificar la configuración de autenticación y seguridad de los plugins instalados.
- Realizar auditorías periódicas de seguridad en los plugins de WordPress instalados para identificar posibles vulnerabilidades.
Referencias: