WordPress es una de las plataformas de gestión de contenidos más utilizadas a nivel mundial y sus complementos son fundamentales para extender su funcionalidad. Sin embargo, vulnerabilidades críticas en estos complementos pueden comprometer gravemente la seguridad de los sitios web.
A continuación, se detallan nuevas vulnerabilidades detectadas en ciertos complementos de WordPress.
- CVE-2024-13513 (CVSS 9.8): Se ha identificado una vulnerabilidad de exposición de información confidencial en el complemento Oliver POS, una solución Point of Sale (POS) para WooCommerce en WordPress. Esta vulnerabilidad se origina en la función de registro, permitiendo que atacantes no autenticados extraigan datos sensibles, incluido el clientToken. La explotación de esta vulnerabilidad podría permitir a los atacantes modificar la información de la cuenta del usuario, como direcciones de correo electrónico y tipos de cuenta, lo que facilitaría el restablecimiento de contraseñas y, en consecuencia, la toma de control total del sitio. Aunque la versión 2.4.2.3 deshabilitó el registro, los sitios con archivos de registro existentes continúan siendo vulnerables.
- CVE-2024-12562 (CVSS 9.8): una vulnerabilidad de inyección de objetos PHP no autenticada en el complemento s2Member Pro para WordPress. Esta falla se debe a la deserialización de entradas no confiables a través del parámetro s2member_pro_remote_op, lo que permite a atacantes no autenticados inyectar objetos PHP. Aunque no se ha detectado una cadena POP en el complemento afectado, la presencia de una en un complemento o tema adicional instalado en el sistema de destino podría permitir a un atacante eliminar archivos arbitrarios, acceder a información sensible o ejecutar código malicioso.
Productos y versiones afectadas:
- Oliver POS: todas sus versiones hasta la 2.4.2.3 inclusive.
- s2Member Pro: todas sus versiones hasta la 241216 inclusive.
Solución:
- Oliver POS: actualizar a las versiones posteriores a 2.4.2.3.
- s2Member Pro: actualizar a las versiones posteriores a 241216.
RECOMENDACIONES
- Realizar una actualización inmediata de los complementos Oliver POS y s2Member Pro a versiones seguras.
- Eliminar manualmente cualquier archivo de registro o datos no confiables generados por versiones anteriores.
- Implementar controles de seguridad adicionales y monitoreo continuo para evitar accesos no autorizados al sitio.
Referencias: