Se han identificado vulnerabilidades críticas que afectan a populares plugins de WordPress, utilizados para diversas funcionalidades esenciales en sitios web. Estas vulnerabilidades pueden ser explotadas por atacantes para ejecutar código malicioso, comprometer servidores o robar información sensible.
- CVE-2024-54370 (CVSS: 9.9, Crítico): El plugin Video & Photo Gallery for Ultimate Member, utilizado para gestionar galerías de fotos y videos en WordPress, presenta una vulnerabilidad de tipo Unrestricted File Upload. Esta debilidad permite a atacantes subir archivos maliciosos, como web shells, al servidor.
- CVE-2024-54367 (CVSS: 9.8, Crítico): El plugin ForumWP, diseñado para la creación de foros en WordPress, es vulnerable a un ataque de PHP Object Injection mediante la deserialización de datos no confiables. Este problema permite la ejecución de código arbitrario.
| CVE | Producto Afectado | Versión Afectada | Solución |
| CVE-2024-54370 | Video & Photo Gallery for Ultimate Member plugin. | Versiones anteriores a la 1.1.1. | Actualizar a la versión 1.1.1 o posterior. |
| CVE-2024-54367 | ForumWP plugin. | Versiones anteriores a la 2.1.1. | Actualizar a la versión 2.1.1 o posterior. |
Recomendaciones:
- Implementar actualizaciones regulares de todos los plugins y temas de WordPress.
- Realizar auditorías de seguridad periódicas para identificar configuraciones o extensiones vulnerables.
- Minimizar el uso de plugins de terceros, empleando únicamente los esenciales y de desarrolladores confiables.
Referencias: