Vulnerabilidades críticas en varios plugins de WordPress

WordPress, recientemente ha identificado algunos plugins que presentan vulnerabilidades críticas que podrían poner en riesgo la integridad y seguridad de los sitios web.

A continuación, se describen las vulnerabilidades presentadas:

• CVE-2024-9893 (CVSS 9.8): El plugin Nextend Social Login Pro, es vulnerable a un problema de omisión de autenticación. Esta vulnerabilidad ocurre debido a una verificación insuficiente del usuario que regresa con el token de inicio de sesión social, lo cual permite que los atacantes no autenticados logren iniciar sesión como cualquier usuario existente en el sitio, incluido un administrador, si pueden acceder al correo electrónico de la víctima.

• CVE-2024-9863 (CVSS 9.8): El plugin Miniorange OTP Verification with Firebase presenta una vulnerabilidad de escalada de privilegios, que se deriva de una configuración incorrecta en el valor predeterminado del rol de usuario. El problema radica en que, bajo ciertas condiciones, los atacantes no autenticados pueden registrar una cuenta de usuario con privilegios administrativos.

• CVE-2024-9862 (CVSS 9.8): El plugin Miniorange OTP Verification with Firebase también es vulnerable a un cambio arbitrario de contraseña de usuario, lo que significa que un atacante no autenticado puede cambiar las contraseñas de usuarios sin necesidad de conocer la contraseña actual. Esto ocurre debido a la falta de una verificación adecuada del acceso del usuario y a la omisión del chequeo de la contraseña actual durante el proceso de cambio de credenciales.

• CVE-2024-9263 (CVSS 9.8): El plugin WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling presenta una vulnerabilidad grave que permite la toma de control de cuentas o la escalada de privilegios a través de una referencia directa insegura de objetos. Debido a la falta de validación adecuada en una clave controlada por el usuario, los atacantes no autenticados pueden restablecer los correos electrónicos y contraseñas de cualquier cuenta en el sitio, incluidos los administradores.

CVE	Producto Afectado	Versión Afectada	Solución
CVE-2024-9893	Nextend Social Login Pro plugin.	Versiones menores o iguales a la 3.1.14.	Actualizar a la versión 3.1.15 o posterior.
CVE-2024-9863	Miniorange OTP Verification with Firebase plugin.	Versiones menores o iguales a la 3.6.0.	Actualizar a la versión 3.6.1 o posterior.
CVE-2024-9862
CVE-2024-9263	WP Timetics- AI-powered Appointment Booking Calendar and Online Scheduling Plugin.	Versiones menores o iguales a la 1.0.25.	Actualizar a la versión 1.0.26 o posterior.

Recomendaciones:

• Implementar medidas adicionales de autenticación para evitar accesos no autorizados.

• Revisar y actualizar los roles de usuario predeterminados para garantizar privilegios adecuados.

• Verificar y actualizar los plugins de WordPress regularmente para mantener la seguridad del sitio.

Referencias:

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/timetics/wp-timetics-ai-powered-appointment-booking-calendar-and-online-scheduling-plugin-1025-insecure-direct-object-reference-to-unauthenticated-arbitrary-user-passwordemail-resetaccount-takeover

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/miniorange-firebase-sms-otp-verification/miniorange-otp-verification-with-firebase-360-unauthenticated-arbitrary-user-password-change

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/miniorange-firebase-sms-otp-verification/miniorange-otp-verification-with-firebase-360-privilege-escalation-via-registration-due-to-administrator-default-user-role-value

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/nextend-social-login-pro/nextend-social-login-pro-3114-authentication-bypass

• https://www.cvefind.com/en/cve/CVE-2024-9263.html

• https://www.cvefind.com/en/cve/CVE-2024-9862.html

• https://www.cvefind.com/en/cve/CVE-2024-9863.html

• https://www.cvefind.com/en/cve/CVE-2024-9893.html