Vulnerabilidades en Tema y Complemento de WordPress

WordPress es una de las plataformas de gestión de contenidos (CMS) más utilizadas a nivel mundial, permitiendo a los usuarios crear y administrar sitios web de forma eficiente. Sin embargo, su popularidad también lo convierte en un objetivo recurrente para los ciberataques. Esto resalta la importancia crítica de mantener actualizadas las medidas de seguridad y de implementar revisiones periódicas en temas y complementos.

A continuación, se detallan dos vulnerabilidades recientemente reportadas, que exponen a miles de sitios web a riesgos significativos:

CVE-2024-22303 (CVSS 8.8): La vulnerabilidad afecta al tema y plugin Houzez de WordPress, permitiendo la escalación de privilegios. Este fallo, causado por una asignación incorrecta de privilegios, permite que actores malintencionados eleven sus permisos desde cuentas de bajo nivel hasta niveles administrativos, lo que podría conducir a un control completo del sitio afectado.

CVE-2024-21743 (CVSS 8.8): La vulnerabilidad afecta al plugin Houzez Login Register de WordPress, permite la escalación de privilegios debido a una asignación incorrecta de permisos. Los atacantes pueden aprovechar este fallo para elevar sus privilegios, lo que les permitiría tomar el control de cuentas más privilegiadas, incluidas cuentas de administrador. Esta vulnerabilidad es especialmente peligrosa porque no requiere interacción del usuario y tiene un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema afectado.

Productos y versiones afectadas:

• Tema Houzez: todas las versiones anteriores hasta la 3.2.4 inclusive.
• Plugin Houzez Login Register: todas las versiones anteriores hasta 3.2.5 inclusive.

Solución:

• Tema Houzez: versión 3.3.0
• Plugin Houzez Login Register: versión 3.3.0

Recomendaciones:

• Actualizar a la versión 3.3.0 del tema y complemento Houzez para solventar las vulnerabilidades.

• Implementar el parche virtual proporcionado por Patchstack hasta completar la actualización.

• Monitorear regularmente las actualizaciones de seguridad de los plugins y temas utilizados en WordPress.

Referencias:

• https://cybersecuritynews.com/wordpress-theme-plugin-vulnerabilities
• https://nvd.nist.gov/vuln/detail/CVE-2024-22303
• https://nvd.nist.gov/vuln/detail/CVE-2024-21743