Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin myCred, que afecta a las versiones hasta la 2.4.3. Esta falla podría permitir a usuarios no autorizados realizar acciones restringidas dentro del plugin.
Fuente base de datos: Wordfence Intelligence
myCred – Points, Rewards, Gamification, Ranks, Badges & Loyalty Plugin <= 2.4.3 - Missing Authorization (falta de autorizacion) - version 2.4.4
PLUGIN
MEDIUM
CVE-2022-1092
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se origina por la falta de controles de autorización adecuados, lo que permite a un atacante eludir las restricciones de acceso en ciertas funciones del plugin. Esto aumenta la superficie de ataque al permitir interacciones no deseadas con el sistema de puntos y recompensas.
Impacto potencial
El impacto potencial incluye la manipulación de puntos y recompensas, lo que podría afectar la integridad de los datos y la confianza de los usuarios en el sistema. Esto puede llevar a pérdidas económicas y a un deterioro de la reputación del negocio.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones afectadas del plugin, aprovechando la falta de verificación de permisos.
Mitigación recomendada
Actualizar el plugin myCred a la versión 2.4.4 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la instalación de WordPress.
Señales de detección
Señales de riesgo incluyen accesos no autorizados a funciones del plugin, cambios inesperados en los puntos de usuario y logs de acceso inusuales relacionados con el plugin.
Alcance afectado
Las versiones del plugin myCred hasta la 2.4.3 están afectadas. Se recomienda a los usuarios de estas versiones que realicen la actualización inmediatamente.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
mycred
myCred <= 2.9.7.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'mycred_load_coupon' Shortcode
MEDIUM
PLUGIN
mycred
myCred <= 2.9.7.3 - Missing Authorization
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program <= 2.9.7.1 - Missing Authorization to Sensitive Information Exposure
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program <= 2.9.7 - Missing Authorization to Unauthenticated Withdrawal Request Approval
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program. <= 2.9.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.3 - Authenticated (Subscriber+) Race Condition
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.3 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.2 - Missing Authorization
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto