WP Video Robot es un complemento de WordPress conocido como «El Importador de Videos Definitivo», diseñado para facilitar la importación de videos en sitios de WordPress. Sin embargo, se ha identificado una vulnerabilidad que permite la escalada de privilegios en todas las versiones hasta la 1.20.0 inclusive, lo que representa un riesgo significativo para los sitios que lo utilizan.
- CVE-2024-9192 (CVSS 8.8): Esta vulnerabilidad radica en la función wpvr_rate_request_result() del plugin, en esta no se valida adecuadamente la información meta del usuario que puede ser actualizada. Permitiendo a atacantes autenticados con privilegios de suscriptor o superiores modifiquen su información meta de usuario, lo que podría ser aprovechado para escalar sus privilegios a nivel de administrador.
Productos y versiones afectadas:
- WP Video Robot – The Ultimate Video Importer, en todas las versiones hasta la 1.20.0 inclusive.
Solución:
- Actualizar WP Video Robot a una versión posterior a la 1.20.0 que corrija esta vulnerabilidad.
Recomendaciones:
- Verificar las actualizaciones disponibles para el plugin y aplicarlas de inmediato.
- Limitar los permisos de usuarios con roles de menor privilegio en el sitio.
- Supervisar el acceso y actividades sospechosas en los sitios que utilicen este complemento.
Referencias: