Se ha identificado una vulnerabilidad crítica que afecta al plugin Contest Gallery para WordPress, ampliamente utilizado para la gestión de galerías y concursos en línea. Este fallo de seguridad podría permitir a atacantes no autenticados tomar el control de cuentas en los sitios afectados, incluyendo aquellas con privilegios administrativos,
- CVE-2024-11103 (CVSS 9.8): El plugin Contest Gallery presenta un mecanismo de recuperación de contraseñas inseguro que no valida correctamente la identidad del usuario antes de permitir cambios en la contraseña. Esto puede ser explotado por un atacante para redefinir la contraseña de cualquier cuenta, incluida la de administradores, y obtener acceso no autorizado al sistema.
Productos y versiones afectadas:
- Versiones anteriores a la 24.0.8 del plugin Contest Gallery para WP.
Solución:
- Actualizar a la versión 24.0.8 o posterior.
Recomendaciones:
- Actualizar inmediatamente el plugin Contest Gallery a la última versión disponible.
- Verificar la seguridad de las contraseñas de las cuentas administrativas y restablecerlas si es necesario.
- Implementar medidas adicionales de seguridad, como autenticación de dos factores (2FA) para proteger las cuentas críticas.
Referencias: