Errores críticos en el complemento de WordPress para miembros definitivos ponen en peligro los sitios de 100K - ES

Errores críticos en el complemento de WordPress para miembros definitivos Ponen en peligro la imagen del artículo de 100K sitios¿Su sitio de WordPress utiliza el complemento Ultimate Member?? Si es así, debe tener en cuenta que el complemento contiene vulnerabilidades críticas de escalada de privilegios. Para evitar cualquier problema, debe actualizar el complemento a la última versión disponible, 2.1.12, que fue lanzado en octubre 29, 2020.

El complemento se ha instalado activamente en más de 100,000 sitios, que puede estar bajo ataque si no se repara.

El propósito del complemento Ultimate Member es mejorar el registro de usuarios y el control de cuentas en los sitios de WordPress. El complemento permite a los propietarios del sitio crear roles personalizados y controlar los privilegios de los miembros del sitio.. La utilidad crea automáticamente tres formularios para funcionar correctamente, que consiste en el registro de usuario, iniciar sesión, y gestión de perfiles.

Tres vulnerabilidades críticas de escalada de privilegios en el complemento Ultimate Member de WordPress

Los investigadores de Wordfence "descubrieron que el formulario de registro de usuario carecía de algunas comprobaciones sobre los datos de usuario enviados". La falta de controles permitió a los atacantes proporcionar claves meta de usuario arbitrarias durante el proceso de registro.. Para ahorrar a nuestros lectores los pesados ​​detalles técnicos, esto creó una vulnerabilidad crítica que hizo posible que los usuarios inicialmente no autenticados escalen sus privilegios a un administrador.

El acceso de administrador en manos de los ciberdelincuentes puede conducir a muchas actividades maliciosas, incluido desconectar el sitio o infectarlo con malware. No es sorprendente, la puntuación CVSS de esta vulnerabilidad, que se ha denominado "Escalada de privilegios no autenticada a través de meta de usuario," es 10.00, o critico.

El segundo vulnerabilidad del complemento en Ultimate Member también tiene la misma calificación CVSS de 10.00. Conocido como "Escalada de privilegios no autenticados mediante roles de usuario,”La falla crítica está relacionada con la anterior. “Debido a la falta de filtrado en el parámetro de rol que podría proporcionarse durante el proceso de registro, un atacante podría proporcionar el parámetro de rol con una capacidad de WordPress o cualquier rol de miembro definitivo personalizado y efectivamente recibir esos privilegios,"Wordfence dice.

La tercera vulnerabilidad calificada 9.9 en términos de severidad, se denomina "Escalada de privilegios autenticada mediante la actualización de perfil". La falla se debe a la falta de controles de capacidad en una actualización de perfil. El error puede ser utilizado por usuarios autenticados para escalar sus privilegios con una dificultad mínima..

La divulgación técnica completa de las fallas del complemento Ultimate Member está disponible en el informe original. También le recomendamos que lea HowToHosting.Guide's artículo útil sobre seguridad web.

Investigado y creado por:
Krum Popov
Apasionado emprendedor web, ha estado elaborando proyectos web desde 2007. En 2020, fundó HTH.Guide, una plataforma visionaria dedicada a agilizar la búsqueda de la solución de alojamiento web perfecta.. Leer más...
Revisado técnicamente por:
Metod Ivanov
Experto experimentado en desarrollo web con 8+ años de experiencia, incluyendo conocimientos especializados en entornos de hosting. Su experiencia garantiza que el contenido cumple con los más altos estándares de precisión y se alinea perfectamente con las tecnologías de alojamiento.. Leer más...

Dejar un comentario

su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *

Este sitio está protegido por reCAPTCHA y Google Política de privacidad y Términos de servicio aplicar.

Este sitio web utiliza cookies para mejorar la experiencia del usuario. Al usar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestro Política de privacidad.
Estoy de acuerdo
En HTH.Guide, Ofrecemos revisiones transparentes de alojamiento web., asegurar la independencia de influencias externas. Nuestras evaluaciones son imparciales ya que aplicamos estándares estrictos y consistentes a todas las revisiones..
Si bien podemos ganar comisiones de afiliados de algunas de las empresas destacadas, Estas comisiones no comprometen la integridad de nuestras reseñas ni influyen en nuestras clasificaciones..
Los ingresos del afiliado contribuyen a cubrir la adquisición de la cuenta., gastos de prueba, mantenimiento, y desarrollo de nuestro sitio web y sistemas internos.
Confíe en HTH.Guide para obtener sinceridad y conocimientos fiables sobre alojamiento.