Se ha descubierto una vulnerabilidad crítica en el plugin MainWP Child, ampliamente utilizado por más de 700,000 sitios web para la gestión centralizada de múltiples sitios WordPress. Esta falla podría permitir a atacantes no autenticados comprometer la seguridad de los sitios afectados si el plugin no está configurado correctamente.
- CVE-2024-10783 (CVSS 8.1): Esta vulnerabilidad se debe a la ausencia de verificaciones de autorización en la función register_site, lo que permite a atacantes no autenticados escalar privilegios y autenticarse como administradores. Esto afecta únicamente a instancias donde el plugin no ha sido conectado al tablero MainWP y la función de ID de seguridad única no está habilitada.
Producto y versiones afectadas:
- Versiones anteriores a la 5.3 del plugin MainWP Child para WordPress.
Solución:
- Actualizar a la versión 5.3 o posterior.
Recomendaciones:
- Actualizar el plugin MainWP Child a la última versión para mitigar el riesgo de vulnerabilidad.
- Conectar el plugin al MainWP Dashboard para garantizar su configuración correcta.
- Habilitar la función de ID de seguridad única en las configuraciones del plugin.
Referencias: