Nuevas vulnerabilidades afectan a WordPress

TEAM CSIRT

El plugin Simple Membership en WordPress proporciona funcionalidades de gestión de membresías y protección de contenido según el nivel de membresía configurado.

Recientemente, se identificó una vulnerabilidad con el código CVE-2023-4719, calificada con un riesgo de 7.2 en la escala CVSS. Esta vulnerabilidad, categorizada como Cross-Site Scripting (XSS), reside en la función no especificada «list_type» y permite a posibles atacantes insertar scripts web maliciosos en las páginas en línea.

La extensión All in One B2B for WooCommerce en WordPress es una herramienta de comercio electrónico en constante actualización.

Se ha descubierto una vulnerabilidad crítica con el código CVE-2023-4703, que ha sido calificada con un riesgo de 9.8 en el CVSS. Esta vulnerabilidad se clasifica como una amenaza de Privilege Escalation, lo que significa que los atacantes desconocidos tienen la capacidad de manipular los detalles de los usuarios y obtener privilegios no autorizados debido a una validación insuficiente de ciertos parámetros durante la actualización de datos.

ProductoVersiones afectadasSolución
Simple MembershipVersión 4.3.5 y anterioresVersión 4.3.6 y superiores
All in One B2B for WooCommerceVersión 1.0.3 y anterioresNo hay parche disponible

Recomendaciones

–  Se recomienda a los usuarios que utilicen el complemento Simple Membership actualizar a la versión 4.3.6 o superior con los parches más recientes disponibles.

–  Si dispone de la extensión All in One B2B for WooCommerce se sugiere buscar una alternativa más segura que proporcione una mayor protección para sus datos y la seguridad de su plataforma de comercio electrónico.

Referencias