Fuente base de datos: Wordfence Intelligence

XStore Core <= 5.3.8 - Missing Authorization

PLUGIN MEDIUM CVE-2024-33555

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin XStore Core, específicamente en las versiones hasta la 5.3.8, que permite la falta de autorización en ciertas operaciones. Esta vulnerabilidad, catalogada con una severidad media, puede comprometer la seguridad de las instalaciones afectadas.

Contexto técnico

El fallo se origina en la falta de controles de autorización adecuados en el plugin XStore Core, lo que permite a usuarios no autorizados realizar acciones que deberían estar restringidas. Esto abre una superficie de ataque que puede ser aprovechada por atacantes para manipular funcionalidades del plugin sin los permisos necesarios.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante llevar a cabo acciones no autorizadas que pueden comprometer la integridad y la disponibilidad del sitio web. Esto puede resultar en pérdida de datos, alteración de contenido y daño a la reputación del negocio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes maliciosas que aprovechan la falta de verificación de permisos, lo que les permite ejecutar acciones no autorizadas en el contexto del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin XStore Core a la versión 5.3.9 o superior, donde se ha corregido el problema. Además, es aconsejable realizar una revisión de las configuraciones de seguridad y de permisos de usuario en la instalación de WordPress.

Señales de detección

Las señales de posible explotación incluyen registros de acceso inusuales o intentos de acceso a funcionalidades restringidas del plugin por parte de usuarios no autenticados o con permisos limitados.

Alcance afectado

Las versiones del plugin XStore Core hasta la 5.3.8 son las afectadas. Se debe verificar la versión instalada en cada sitio web que utilice este plugin.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

et-core-plugin

XStore Core <= 5.6.4 - Reflected Cross-Site Scripting

MEDIUM PLUGIN

et-core-plugin

XStore Core < 5.6 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

et-core-plugin

XStore Core < 5.6 - Reflected Cross-Site Scripting

CRITICAL PLUGIN

et-core-plugin

XStore Core <= 5.3.8 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

et-core-plugin

XStore Core <= 5.3.8 - Authenticated (Subscriber+) Limited Arbitrary File Download

HIGH PLUGIN

et-core-plugin

XStore Core <= 5.3.8 - Authenticated (Subscriber+) Local File Inclusion

CRITICAL PLUGIN

et-core-plugin

XStore Core <= 5.3.8 - Unauthenticated Privilege Escalation

CRITICAL PLUGIN

et-core-plugin

XStore Core <= 5.3.8 - Authenticated (Subscriber+) Limited Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto