Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Export and Import Users and Customers <= 2.4.1 - Missing Authorization to Authenticated (Shop Manager) Arbitrary User Password Change

PLUGIN HIGH CVE-2023-3459

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Export and Import Users and Customers for WP WooCommerce' que permite a usuarios autenticados con rol de Shop Manager cambiar contraseñas de cualquier usuario. Esta falla de autorización afecta a las versiones hasta la 2.4.1 y puede ser explotada para comprometer cuentas de usuario.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización adecuados que permitan a los Shop Managers realizar cambios en las contraseñas de otros usuarios sin las restricciones necesarias. Esto se traduce en una superficie de ataque donde un usuario con privilegios insuficientes puede ejecutar acciones no autorizadas.

Impacto potencial

El impacto potencial es alto, ya que un atacante podría cambiar contraseñas de usuarios, lo que podría llevar a accesos no autorizados a información sensible y comprometer la integridad de la tienda online. Esto podría resultar en pérdidas económicas y daños a la reputación del negocio.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se realiza mediante el acceso al panel de administración de WordPress, donde el atacante, tras autenticarse como Shop Manager, puede realizar cambios en las contraseñas de otros usuarios sin restricciones.

Mitigación recomendada

Para mitigar esta vulnerabilidad, es crucial actualizar el plugin a la versión 2.4.2 o superior. Además, se recomienda revisar los roles y permisos asignados a los usuarios, limitando el acceso a funciones críticas solo a aquellos que realmente lo necesiten.

Señales de detección

Señales de riesgo incluyen cambios inesperados en las contraseñas de usuarios, accesos inusuales en el panel de administración y registros de actividad que indiquen modificaciones de usuarios por parte de Shop Managers.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 2.4.2 del plugin 'Export and Import Users and Customers for WP WooCommerce'.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

users-customers-import-export-for-wp-woocommerce

Export and Import Users and Customers <= 2.6.2 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Read via download_file Function

Ver ficha
LOW PLUGIN

users-customers-import-export-for-wp-woocommerce

Export and Import Users and Customers <= 2.6.2 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Deletion via admin_log_page Function

Ver ficha
HIGH PLUGIN

users-customers-import-export-for-wp-woocommerce

Export and Import Users and Customers <= 2.6.2 - Authenticated (Admin+) PHP Object Injection via form_data Parameter

Ver ficha
HIGH PLUGIN

users-customers-import-export-for-wp-woocommerce

Export and Import Users and Customers <= 2.6.2 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file Function

Ver ficha
HIGH PLUGIN

users-customers-import-export-for-wp-woocommerce

Export and Import Users and Customers <= 2.5.3 - Authenticated (Admin+) PHP Object Injection

Ver ficha
LOW PLUGIN

users-customers-import-export-for-wp-woocommerce

Import Export WordPress Users <= 2.5.2 - Authenticated (Shop Manager+) Path Traversal

Ver ficha
HIGH PLUGIN

users-customers-import-export-for-wp-woocommerce

Export and Import Users and Customers <= 2.4.8 - Authenticated (Shop Manager+) Arbitrary File Upload

Ver ficha
HIGH PLUGIN

users-customers-import-export-for-wp-woocommerce

WebToffee Plugins <= (Various Versions) - Arbitrary User Creation

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad