El plugin eCommerce Product Catalog para WordPress, ampliamente utilizado para la gestión y presentación de catálogos de productos en sitios web, presenta una vulnerabilidad identificada como CVE-2024-12771, la cual permite la explotación de un Cross-Site Request Forgery (CSRF) que puede desencadenar un restablecimiento de contraseña no autorizado del administrador. Si se explota con éxito, un atacante podría secuestrar la cuenta del administrador y tomar control total del sitio web afectado.
- CVE-2024-12771 (CVSS 8.8): Una falla en la función customer_panel_password_reset del plugin podría ser aprovechada por atacantes no autenticados para restablecer las contraseñas de cuentas de administradores o clientes, siempre que logren que un administrador del sitio lleve a cabo una acción, como hacer clic en un enlace malicioso.
Productos y versiones afectadas:
- Versiones anteriores a la 3.3.44 del plugin eCommerce Product Catalog.
Solución:
- Actualizar a la versión 3.3.44 o posterior.
Recomendaciones:
- Actualizar el plugin a su última versión para garantizar que las vulnerabilidades estén corregidas.
- Configurar las cuentas de administrador con contraseñas fuertes y únicas para minimizar el impacto de posibles ataques.
- Evitar hacer clic en enlaces sospechosos o realizar acciones en sitios web no confiables, especialmente si se está autenticado como administrador.
Referencias: