Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Directorist, que afecta a las versiones hasta la 7.8.6. Este fallo podría permitir a usuarios no autorizados acceder a funciones restringidas del plugin.
Fuente base de datos: Wordfence Intelligence
Directorist <= 7.8.6 - Missing Authorization
PLUGIN
MEDIUM
CVE-2024-33929
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se debe a una falta de controles de autorización adecuados, lo que permite que ciertos usuarios puedan realizar acciones que deberían estar restringidas. La superficie de ataque se centra en las funcionalidades que requieren permisos específicos, pero que no los verifican correctamente.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que podría permitir a un atacante realizar acciones no autorizadas, comprometiendo la integridad de los datos y la seguridad general del sitio. Esto podría traducirse en pérdida de confianza por parte de los usuarios y posibles repercusiones legales.
Vector de explotación
Normalmente, esta vulnerabilidad se explota mediante el acceso a funciones del plugin que no tienen la autorización adecuada, permitiendo a un atacante ejecutar acciones maliciosas sin ser detectado.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Directorist a la versión 7.9.0 o superior. Además, se deben revisar los permisos de usuario y asegurarse de que se implementen controles de autorización adecuados en todas las funciones críticas.
Señales de detección
Señales de riesgo incluyen intentos de acceso a funcionalidades restringidas por parte de usuarios no autorizados, así como logs de actividad inusual que indiquen intentos de explotación.
Alcance afectado
Las versiones afectadas son todas las versiones del plugin Directorist hasta la 7.8.6. Las instalaciones que no han actualizado a la versión 7.9.0 están en riesgo.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
directorist
Directorist <= 8.5.8 - Missing Authorization
MEDIUM
PLUGIN
directorist
Directorist <= 8.5.6 - Unauthenticated Open Redirect
MEDIUM
PLUGIN
directorist
Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings <= 8.5.2 - Missing Authorization to Authenticated (Subscriber+) Data Export and Slug Update
HIGH
PLUGIN
directorist
Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings <= 8.4.8 - Authenticated (Subscriber+) Arbitrary File Move
MEDIUM
PLUGIN
directorist
Directorist <= 8.2 - Missing Authorization to Unauthenticated Arbitrary Post Publishing
HIGH
PLUGIN
directorist
Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings <= 8.1 - Privilege Escalation and Account Takeover via Weak OTP
MEDIUM
PLUGIN
directorist
Directorist – AI-Powered WordPress Business Directory Plugin with Classified Ads Listings <= 8.0.12 - Unauthenticated User Information Exposure
MEDIUM
PLUGIN
directorist
Directorist <= 7.8.4 - Missing Authorization to Unauthenticated Settings Change
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto