Patchstack ha revelado dos vulnerabilidades críticas en el tema premium Woffice para WordPress, desarrollado por Xtendify. Este tema, con más de 15,000 ventas, está diseñado para intranets y extranets, ofreciendo funciones avanzadas de gestión de equipos y proyectos. Sin embargo, estas vulnerabilidades representan un riesgo significativo para los sitios web afectados.
Adicionalmente, se han identificado otras dos vulnerabilidades críticas que afectan plugins de WordPress ampliamente utilizados: Flash News / Post (Responsive) y Share Buttons – Social Media. Estas vulnerabilidades, si son explotadas, podrían comprometer gravemente la seguridad y funcionalidad de los sitios web afectados.
- CVE-2024-43153 – (CVSS: 9.8): Gestión inadecuada de privilegios. Esta vulnerabilidad permite a usuarios no autenticados registrarse con cualquier rol en un sitio afectado, incluyendo el rol de Administrador. Esto podría resultar en la toma total del sitio web y la instalación de código malicioso en el servidor. El problema se encuentra en la función de registro en el archivo
inc/classes/Woffice_Register.php, particularmente cuando las opciones de inicio de sesión personalizadas están habilitadas.
- CVE-2024-43234 – (CVSS: 9.8): Elusión de autenticación mediante una ruta o canal alternativo. Esta vulnerabilidad explota mecanismos de autenticación defectuosos, permitiendo a los atacantes iniciar sesión como cualquier usuario existente. Está relacionada con la función
register_redirecten el mismo archivoWoffice_Register.php. Utilizando el nonce de seguridadWofficeRegisterRedirecty configurando el parámetro$_POST['user_id']con un ID de usuario existente, los atacantes pueden obtener acceso no autorizado. - CVE-2024-56012 – (CVSS: 9.8): Falsificación de Solicitudes entre Sitios (CSRF). Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin WordPress Flash News / Post (Responsive) permite la escalada de privilegios.
- CVE-2024-55982 – (CVSS: 9.3): Inyección SQL. Una vulnerabilidad de inyección SQL ciega afecta al plugin WordPress Share Buttons – Social Media, desarrollado por richteam. Este problema podría permitir la ejecución de comandos SQL arbitrarios.
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-43153 | Woffice. | Todas las versiones anteriores a la 5.4.10. | Actualizar a la versión 5.4.12 o posterior. |
| CVE-2024-43234 | Todas las versiones anteriores a la 5.4.14. | Actualizar a la versión 5.4.15 o posterior. | |
| CVE-2024-56012 | Flash News / Post (Responsive). | Todas las versiones menores iguales a la 4.1. | Actualizar a la última versión disponible |
| CVE-2024-55982 | Share Buttons – Social Media. | Todas las versiones menores iguales a a la 1.0.2. | Actualizar a la última versión disponible |
Recomendaciones:
- Actualizar todos los temas y plugins afectados a sus versiones más recientes.
- Revisar y deshabilitar temporalmente plugins vulnerables si no hay parches disponibles.
- Implementar medidas de seguridad adicionales, como la restricción de acceso al panel de administración y el monitoreo constante de la actividad del sitio web.
Referencias: