Vulnerabilidad crítica en el complemento WordPress & WooCommerce Affiliate Program

El complemento WordPress & WooCommerce Affiliate Program es una herramienta popular utilizada para gestionar programas de afiliados en sitios de WordPress, permitiendo a los propietarios de sitios web crear y administrar redes de afiliados de manera eficiente. Sin embargo, se ha detectado una vulnerabilidad crítica que permite a atacantes no autenticados iniciar sesión como cualquier usuario. Esto plantea un riesgo significativo, ya que los atacantes podrían realizar acciones maliciosas, comprometiendo la seguridad y la integridad del sitio.

  • CVE-2024-9289 (CVSS 9.8): Esta vulnerabilidad se debe a una omisión de autenticación en la función rtwwwap_login_request_callback(), que no valida correctamente la identidad del usuario antes de autenticarlo. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario, incluidos los administradores, siempre que tengan acceso al correo electrónico del administrador. Como consecuencia, los atacantes pueden comprometer cuentas y realizar acciones maliciosas en el sitio.

Productos y versiones afectadas:

  • Todas las versiones hasta la 8.4.1 incluida del Complemento WordPress & WooCommerce Affiliate Program.

Solución:

  • Actualizar a la versión 8.5.0 o posterior.

Recomendaciones:

  • Mantener actualizado el complemento WordPress & WooCommerce Affiliate Program a la última versión disponible.
  • Realizar auditorías de seguridad regularmente para identificar vulnerabilidades en los complementos instalados.
  • Implementar prácticas de seguridad adicionales, como la autenticación de dos factores, para proteger las cuentas de usuario, especialmente las de administrador.

Referencias:

  • https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-wc-affiliate-program/wordpress-woocommerce-affiliate-program-841-authentication-bypass-to-account-takeover-and-privilege-escalation
  • https://nvd.nist.gov/vuln/detail/CVE-2024-9289
  • https://www.cve.org/CVERecord?id=CVE-2024-9289