Fuente base de datos: Wordfence Intelligence

User Profile Builder <= 3.10.8 - Missing Authorization to Plugin Settings Change via wppb_two_factor_authentication_settings_update

PLUGIN HIGH CVE-2024-0324

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin User Profile Builder, que permite cambios no autorizados en la configuración de autenticación de dos factores. Esta falla afecta a las versiones hasta la 3.10.8 y ha sido corregida en la 3.10.9.

Contexto técnico

El fallo se origina en la falta de autorización adecuada al modificar la configuración de autenticación de dos factores. Esto permite a un atacante realizar cambios en la configuración sin los permisos necesarios, exponiendo así la seguridad de los usuarios.

Impacto potencial

La explotación de esta vulnerabilidad puede llevar a un acceso no autorizado a cuentas de usuario, comprometiendo la integridad de los datos y la confianza de los usuarios en la plataforma. Esto podría resultar en pérdidas financieras y daños a la reputación de la empresa.

Vector de explotación

Los atacantes podrían aprovechar esta vulnerabilidad enviando solicitudes maliciosas para modificar la configuración de autenticación sin la debida autorización, lo que podría facilitar el acceso a cuentas de usuario.

Mitigación recomendada

Actualizar el plugin User Profile Builder a la versión 3.10.9 o superior. Además, se recomienda revisar los registros de actividad para detectar posibles cambios no autorizados en la configuración.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración de autenticación de dos factores, así como intentos de acceso a cuentas de usuario sin autorización previa.

Alcance afectado

Las versiones del plugin User Profile Builder hasta la 3.10.8 están afectadas por esta vulnerabilidad.

Vulnerabilidades relacionadas

CRITICAL PLUGIN

profile-builder

User Profile Builder <= 3.15.1 - Unauthenticated Privilege Escalation via Account Takeover

MEDIUM PLUGIN

profile-builder

User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor <= 3.14.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

profile-builder

User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor <= 3.14.3 - Authenticated (Subscriber+) Stored Cross-Site Scripting

MEDIUM PLUGIN

profile-builder

Profile Builder <= 3.13.8 - Unauthenticated Content Spoofing

MEDIUM PLUGIN

profile-builder

Profile Builder <= 3.13.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via user_meta and compare Shortcodes

MEDIUM PLUGIN

profile-builder

User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor <= 3.13.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

MEDIUM PLUGIN

profile-builder

User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor <= 3.12.9 - Unauthenticated Stored Cross-Site Scripting

MEDIUM PLUGIN

profile-builder

User Profile Builder – Beautiful User Registration Forms, User Profiles & User Role Editor <= 3.12.1 - Authenticated (Admin+) Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto