WordPress es un sistema de gestión de contenidos de código abierto, ampliamente utilizado para crear y gestionar sitios web. Es conocido por su flexibilidad, facilidad de uso y una vasta biblioteca de complementos y temas que permiten personalizar y ampliar sus funcionalidades. El complemento s2Member Pro de WordPress, desarrollado por WP Sharks, es una herramienta ampliamente utilizada para la gestión de membresías, implementación de paywalls y restricciones de acceso a contenido exclusivo. Recientemente, se ha encontrado una vulnerabilidad en uno de sus complementos, lo que pone en riesgo la seguridad.
- CVE-2024-51815 (CVSS 9.0): Esta vulnerabilidad, está clasificada como una ejecución remota de código (RCE). Se manifiesta debido a un control inadecuado en la generación de código, lo que permite la inyección de código malicioso. Esto podría comprometer seriamente los sitios web que utilicen este plugin, ya que un atacante remoto podría tomar control del sistema afectado sin necesidad de interacción previa del usuario o privilegios administrativos.
Productos y versiones afectadas:
- s2Member Pro en todas sus versiones hasta la 241114.
Solución:
- Actualizar el complemento s2Member Pro a una versión posterior a 241114.
Recomendaciones:
- Verificar y aplicar las actualizaciones disponibles para el complemento s2Member Pro de inmediato.
- Implementar herramientas de monitoreo para detectar posibles actividades sospechosas en el sistema.
- Configurar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para mitigar el riesgo de explotación.
Referencias: