Fuente base de datos: Wordfence Intelligence

WP Database Reset <= 3.1 - Unauthenticated Database Reset en Wordpress Database Reset (vulnerabilidad) - version 3.15

PLUGIN CRITICAL CVE-2020-7048

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La vulnerabilidad crítica en el plugin WP Database Reset permite a atacantes no autenticados restablecer bases de datos, lo que puede comprometer gravemente la integridad de un sitio web. Esta falla, identificada como CVE-2020-7048, tiene una puntuación CVSS de 9.1.

Contexto técnico

El fallo se origina en una falta de autenticación que permite a usuarios no autorizados ejecutar acciones de reinicio en la base de datos. Esto se traduce en que cualquier persona con acceso a la interfaz del plugin puede eliminar datos críticos sin necesidad de credenciales.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a la pérdida total de datos y a la interrupción de servicios, afectando la confianza de los usuarios y la reputación de la organización. Además, puede facilitar ataques posteriores si los datos sensibles son eliminados o alterados.

Vector de explotación

Generalmente, la explotación se realiza accediendo a la funcionalidad del plugin a través de una petición HTTP maliciosa que no requiere autenticación previa, lo que permite a los atacantes ejecutar el reinicio de la base de datos de manera sencilla.

Mitigación recomendada

Actualizar el plugin WP Database Reset a la versión 3.15 o superior. Además, se recomienda revisar los permisos de acceso a la administración del sitio y considerar la implementación de medidas de seguridad adicionales, como la autenticación de dos factores.

Señales de detección

Señales de riesgo incluyen registros de accesos inusuales a la funcionalidad del plugin y cambios inesperados en la base de datos. Monitorear logs de actividad puede ayudar a detectar intentos de explotación.

Alcance afectado

Las versiones del plugin WP Database Reset anteriores a la 3.15 son vulnerables. Es crucial verificar si se utiliza una versión afectada en las instalaciones de WordPress.

Vulnerabilidades relacionadas

HIGH PLUGIN

drag-and-drop-multiple-file-upload-contact-form-7

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.6 - Unauthenticated Limited Arbitrary File Read via mfile Field

HIGH PLUGIN

drag-and-drop-multiple-file-upload-contact-form-7

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.6 - Unauthenticated Arbitrary File Upload via Non-ASCII Filename Blacklist Bypass

HIGH PLUGIN

easy-appointments

Easy Appointments <= 3.12.21 - Unauthenticated Sensitive Information Exposure via REST API

MEDIUM PLUGIN

latepoint

LatePoint <= 5.3.2 - Insecure Direct Object Reference to Unauthenticated Sensitive Financial Data Exposure via Sequential Invoice ID

MEDIUM PLUGIN

fluentform

Fluent Forms – Customizable Contact Forms, Survey, Quiz, & Conversational Form Builder <= 6.1.21 - Insecure Direct Object Reference in Stripe SCA Confirmation to Unauthenticated Payment Status Modification

MEDIUM PLUGIN

riaxe-product-customizer

Riaxe Product Customizer <= 2.1.2 - Unauthenticated Arbitrary User Deletion via 'user_id' Parameter

MEDIUM PLUGIN

basic-google-maps-placemarks

Basic Google Maps Placemarks <= 1.10.7 - Missing Authorization to Unauthenticated Default Map Coordinate Update

CRITICAL THEME

webstack

WebStack <= 1.2024 - Unauthenticated Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto