Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin myCred, que afecta a las versiones hasta la 2.4.3. Esta falla podría permitir a usuarios no autorizados realizar acciones restringidas dentro del plugin.
Fuente base de datos: Wordfence Intelligence
myCred – Points, Rewards, Gamification, Ranks, Badges & Loyalty Plugin <= 2.4.3 - Missing Authorization
PLUGIN
MEDIUM
CVE-2022-1092
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina por la falta de controles de autorización adecuados, lo que permite a un atacante eludir las restricciones de acceso en ciertas funciones del plugin. Esto aumenta la superficie de ataque al permitir interacciones no deseadas con el sistema de puntos y recompensas.
Impacto potencial
El impacto potencial incluye la manipulación de puntos y recompensas, lo que podría afectar la integridad de los datos y la confianza de los usuarios en el sistema. Esto puede llevar a pérdidas económicas y a un deterioro de la reputación del negocio.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas a las funciones afectadas del plugin, aprovechando la falta de verificación de permisos.
Mitigación recomendada
Actualizar el plugin myCred a la versión 2.4.4 o superior para mitigar la vulnerabilidad. Además, se recomienda revisar los permisos de usuario y aplicar prácticas de hardening en la instalación de WordPress.
Señales de detección
Señales de riesgo incluyen accesos no autorizados a funciones del plugin, cambios inesperados en los puntos de usuario y logs de acceso inusuales relacionados con el plugin.
Alcance afectado
Las versiones del plugin myCred hasta la 2.4.3 están afectadas. Se recomienda a los usuarios de estas versiones que realicen la actualización inmediatamente.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
mycred
myCred <= 2.9.7.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'mycred_load_coupon' Shortcode
MEDIUM
PLUGIN
mycred
myCred <= 2.9.7.3 - Missing Authorization
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program <= 2.9.7.1 - Missing Authorization to Sensitive Information Exposure
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Program <= 2.9.7 - Missing Authorization to Unauthenticated Withdrawal Request Approval
MEDIUM
PLUGIN
mycred
myCred – Points Management System For Gamification, Ranks, Badges, and Loyalty Rewards Program. <= 2.9.7.6 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.3 - Authenticated (Subscriber+) Race Condition
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.3 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
mycred
myCred <= 2.9.4.2 - Missing Authorization
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto