Uno de los temas populares en WordPress es KLEO, desarrollado por SeventhQueen, el cual integra el plugin K Elements para mejorar sus funcionalidades, incluyendo autenticación con redes sociales.
- CVE-2024-56000 (CVSS 9.8): Se ha detectado una vulnerabilidad crítica en el plugin K Elements, el problema radica en la función
kleo_fb_intialize, encargada del inicio de sesión mediante Facebook. Debido a una asignación incorrecta de privilegios, esta función permite que cualquier atacante ingresare a una cuenta existente simplemente proporcionando una dirección de correo electrónico, sin necesidad de autenticación adicional.
Productos y versiones afectadas:
- KLEO WordPress Theme con el plugin K Elements: versiones anteriores a la 5.4.0.
Solución:
- KLEO WordPress Theme con el plugin K Elements: actualizar a la versión 5.4.0.
Recomendaciones:
- Actualizar inmediatamente el plugin K Elements a la versión 5.4.0 para mitigar la vulnerabilidad.
- Revisar la actividad de las cuentas en busca de accesos no autorizados o sospechosos.
- Cambiar las contraseñas de usuario como medida de seguridad preventiva.
Referencias:
- https://patchstack.com/database/wordpress/plugin/k-elements/vulnerability/wordpress-k-elements-plugin-5-2-0-unauthenticated-account-takeover-vulnerability?_s_id=cve
- https://securityonline.info/cve-2024-56000-cvss-9-8-account-takeover-flaw-in-kleo-wordpress-theme/
- https://www.cve.org/CVERecord?id=CVE-2024-56000