Fuente base de datos: Wordfence Intelligence

Academy LMS <= 2.0.10 - Open Redirect

PLUGIN HIGH CVE-2024-37234

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de redirección abierta en el plugin Academy LMS, que afecta a las versiones hasta la 2.0.10. Esta vulnerabilidad tiene una severidad alta, con un CVSS de 8.3, lo que podría permitir a un atacante redirigir a los usuarios a sitios maliciosos.

Contexto técnico

La vulnerabilidad se debe a la falta de validación adecuada de las URL de redirección, lo que permite a un atacante manipular los enlaces y redirigir a los usuarios a direcciones no deseadas. Esto representa un riesgo significativo, especialmente en entornos donde se maneja información sensible.

Impacto potencial

El impacto potencial incluye la posibilidad de phishing y la pérdida de confianza por parte de los usuarios, así como un posible daño a la reputación del negocio. Además, los usuarios podrían ser expuestos a malware o fraudes.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad manipulando los parámetros de la URL para redirigir a los usuarios a sitios externos maliciosos, sin que estos sean conscientes de la amenaza.

Mitigación recomendada

Actualizar el plugin Academy LMS a la versión 2.0.11 o posterior. Además, se recomienda implementar medidas de validación de URL en la aplicación para mitigar riesgos futuros.

Señales de detección

Señales de riesgo incluyen redirecciones inesperadas en los enlaces, tráfico inusual hacia dominios desconocidos y reportes de usuarios sobre comportamientos sospechosos al navegar en el sitio.

Alcance afectado

Las versiones del plugin Academy LMS hasta la 2.0.10 están afectadas. Es crucial que los administradores de sitios que utilicen este plugin verifiquen la versión instalada.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

academy

Academy LMS <= 3.5.3 - Missing Authorization

CRITICAL PLUGIN

academy

Academy LMS – WordPress LMS Plugin for Complete eLearning Solution <= 3.5.0 - Unauthenticated Privilege Escalation via Account Takeover

MEDIUM PLUGIN

academy

Academy LMS <= 3.4.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

MEDIUM PLUGIN

wp-youtube-lyte

YouTube Lyte <= 1.7.28 - Open Redirect

HIGH PLUGIN

academy

Academy LMS – WordPress LMS Plugin for Complete eLearning Solution <= 3.3.8 - Authenticated (Administrator+) PHP Object Injection via 'import_all_courses'

MEDIUM PLUGIN

front-editor

Front User Submit <= 4.9.5 - Open Redirect

MEDIUM PLUGIN

gf-zoho

WP Gravity Forms Zoho CRM and Bigin <= 1.2.8 - Open Redirect

MEDIUM PLUGIN

cm-invitation-codes

CM Registration – Tailored tool for seamless login and invitation-based registrations <= 2.5.6 - Open Redirect

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto