Fuente base de datos: Wordfence Intelligence

RegistrationMagic – Custom Registration Forms and User Login <= 4.6.0.3 - Authenticated Settings Import to Privilege Escalation

PLUGIN CRITICAL CVE-2020-9457

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'RegistrationMagic – Custom Registration Forms and User Login' que permite la escalada de privilegios a través de la importación de configuraciones autenticadas. Esta falla afecta a las versiones hasta la 4.6.0.3 y tiene un CVSS de 9.9.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona la importación de configuraciones de usuario. Un atacante autenticado puede aprovechar esta debilidad para modificar los privilegios de otros usuarios, lo que podría permitirles acceder a funciones restringidas.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad del sitio web, permitiendo a un usuario malintencionado obtener acceso a áreas administrativas o a datos sensibles, lo que podría resultar en un daño significativo a la reputación y la integridad del negocio.

Vector de explotación

Generalmente, la explotación se lleva a cabo por un atacante que ya tiene acceso autenticado al sistema, quien utiliza la función de importación de configuraciones para elevar sus privilegios sin necesidad de realizar acciones adicionales complejas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 4.6.0.4 o superior. Además, se sugiere revisar los permisos de usuario y aplicar buenas prácticas de seguridad en la gestión de cuentas y accesos.

Señales de detección

Se pueden observar intentos de importación de configuraciones inusuales en los registros de actividad del plugin, así como cambios inesperados en los privilegios de los usuarios.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.6.0.4 del plugin 'RegistrationMagic'.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic <= 6.0.7.1 - Unauthenticated Privilege Escalation via admin_order

CRITICAL PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – User Registration Plugin with Custom Registration Forms <= 6.0.2.6 - Unauthenticated Privilege Escalation via Password Recovery

HIGH PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login <= 5.3.0.0 - Authenticated (Subscriber+) Privilege Escalation

CRITICAL PLUGIN

custom-registration-form-builder-with-submission-manager

RegistrationMagic – Custom Registration Forms and User Login <= 4.6.0.3 - Authenticated Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto