Se ha identificado una vulnerabilidad crítica que afecta al plugin s2Member de WordPress, utilizado por más de 10,000 sitios en WordPress para la gestión de membresías, restricción de contenido y suscripciones. Esta falla puede exponer información sensible y permitir modificaciones no autorizadas en la base de datos.
CVE-2024-8326 (CVSS: 8.8): El plugin s2Member presenta una vulnerabilidad de exposición de información sensible a través de la función sc_get_details. Esta debilidad permite a atacantes autenticados acceder a datos sensibles del sistema, como información de usuarios y configuraciones de la base de datos. Además, es posible realizar operaciones que incluyen la lectura, actualización o eliminación de tablas en la base de datos.
Productos y versiones afectadas:
- Versiones menores o iguales a la 241114 del plugin s2Member para WordPress.
Solución:
- Actualizar a la versión 241216 o posterior.
Recomendaciones:
- Actualizar inmediatamente el plugin a la última versión disponible para evitar la explotación de la vulnerabilidad.
- Realizar auditorías de seguridad periódicas para identificar y mitigar riesgos en la configuración de plugins.
- Limitar los privilegios de usuario asegurando que solo los roles necesarios tengan acceso avanzado.
Referencias: