Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el tema Betheme, que afecta a las versiones hasta la 27.1.1. Esta falla permite la eliminación no autorizada de elementos a través del endpoint '_tool_history_delete'.
Fuente base de datos: Wordfence Intelligence
Betheme <= 27.1.1 - Missing Authorization via '_tool_history_delete'
THEME
MEDIUM
CVE-2023-39998
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo se origina en la falta de controles de autorización en el método '_tool_history_delete', lo que permite a usuarios no autenticados realizar acciones que deberían estar restringidas. Esto abre una superficie de ataque que puede ser explotada para manipular datos del tema.
Impacto potencial
La explotación de esta vulnerabilidad puede resultar en la eliminación no autorizada de datos del historial, lo que podría comprometer la integridad del sitio web y afectar la confianza de los usuarios. Además, puede dar lugar a un impacto reputacional y financiero si se utilizan los datos eliminados para operaciones críticas.
Vector de explotación
Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes maliciosas al endpoint '_tool_history_delete' sin la debida autorización, lo que les permite ejecutar la eliminación de datos sin restricciones.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar Betheme a la versión 27.1.2 o superior. Además, se sugiere revisar y reforzar los controles de autorización en todos los endpoints que manipulan datos sensibles.
Señales de detección
Se pueden observar registros inusuales de solicitudes al endpoint '_tool_history_delete' que no provengan de usuarios autenticados, así como cambios inesperados en el historial de datos del tema.
Alcance afectado
Las versiones afectadas son todas las versiones de Betheme hasta la 27.1.1. Las instalaciones que no han actualizado a la versión 27.1.2 o superior están en riesgo.
Vulnerabilidades relacionadas
MEDIUM
THEME
betheme
Betheme <= 28.1.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'page_title'
MEDIUM
THEME
betheme
Betheme <= 28.2 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
THEME
betheme
Betheme <= 28.1.3 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
THEME
betheme
Betheme <= 28.0.3 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
THEME
betheme
Betheme <= 27.6.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom JS
MEDIUM
THEME
betheme
Betheme | Responsive Multipurpose WordPress & WooCommerce Theme <= 27.5.5 - Authenticated (Author+) Stored Cross-Site Scripting via SVG File
MEDIUM
THEME
betheme
Betheme | Responsive Multipurpose WordPress & WooCommerce Theme <= 27.5.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
HIGH
THEME
betheme
Betheme <= 27.5.6 - Authenticated (Contributor+) PHP Object Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto