Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin GeoDirectory, que afecta a las versiones hasta la 2.3.70. Esta falla permite que usuarios no autorizados realicen acciones restringidas en el sistema.
Fuente base de datos: Wordfence Intelligence
GeoDirectory <= 2.3.70 - Missing Authorization via geodirectory_rated()
PLUGIN
MEDIUM
CVE-2024-43981
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se encuentra en la función geodirectory_rated(), que carece de controles adecuados de autorización. Esto expone el sistema a ataques donde un atacante puede interactuar con funcionalidades que deberían estar protegidas.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a usuarios no autorizados modificar configuraciones o acceder a datos sensibles, lo que podría comprometer la integridad del sitio y la confianza de los usuarios.
Vector de explotación
Los atacantes generalmente explotan esta vulnerabilidad enviando solicitudes maliciosas a la función afectada, intentando realizar acciones que no deberían estar permitidas para su nivel de acceso.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin GeoDirectory a la versión 2.3.71 o superior. Además, se sugiere revisar los permisos de usuario y aplicar controles adicionales de autorización en las funciones críticas.
Señales de detección
Señales de riesgo pueden incluir registros de acceso inusuales o intentos de acceso a funciones restringidas por parte de usuarios no autorizados.
Alcance afectado
Las versiones del plugin GeoDirectory hasta la 2.3.70 están afectadas, lo que incluye todas las instalaciones que no han sido actualizadas desde la publicación de la versión 2.3.71.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.8.149 - Cross-Site Request Forgery
MEDIUM
PLUGIN
geodirectory
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.139 - Missing Authorization to Authenticated (Author+) Arbitrary Image Attachment
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.8.119 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
geodirectory
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.97 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Display_name Parameter
HIGH
PLUGIN
geodirectory
GeoDirectory – WP Business Directory Plugin and Classified Listings Directory <= 2.8.97 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.3.84 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
geodirectory
GeoDirectory <= 2.3.80 - Authenticated (Contributor+) Stored Cross-Site Scripting
CRITICAL
PLUGIN
geodirectory
GeoDirectory <= 2.3.61 - Authenticated (Subscriber+) SQL Injection
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto