WordPress es una de las plataformas de gestión de contenidos más populares a nivel mundial, utilizada para crear y gestionar sitios web de todo tipo. AppPresser es un complemento para WordPress diseñado para facilitar la creación de aplicaciones móviles a partir de sitios web. Este plugin, ampliamente utilizado por desarrolladores, permite integrar diversas funcionalidades móviles para mejorar la experiencia del usuario final.
- CVE-2024-11024 (CVSS 9.8): Esta vulnerabilidad de tipo escalada de privilegios no autenticados, sé manifiesta en el proceso de restablecimiento de contraseñas del complemento AppPresser – Mobile App Framework.El problema radica en que no se valida correctamente el código de restablecimiento de contraseña antes de actualizarla, lo que permite a atacantes no autenticados que conozcan la dirección de correo electrónico de un usuario, restablecer la contraseña y tomar control de la cuenta afectada.
Productos y versiones afectadas:
- AppPresser – Mobile App Framework, versiones hasta la 4.4.6 inclusive.
Solución:
- Actualizar a la versión 4.4.7 o una versión posterior.
Recomendaciones:
- Verificar que todos los sistemas que utilizan el complemento AppPresser estén actualizados a la última versión.
- Implementar medidas de seguridad adicionales, como la autenticación en dos pasos, para proteger las cuentas de usuario.
- Capacitar a los usuarios sobre la importancia de utilizar direcciones de correo electrónico seguras y no divulgarlas públicamente.
Referencias: