Fuente base de datos: Wordfence Intelligence

Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 1.6.4 - Unauthenticated PHP Object Injection

PLUGIN CRITICAL CVE-2024-5335

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Ultimate Store Kit para WordPress, que permite la inyección de objetos PHP no autenticados. Esta vulnerabilidad, catalogada como CVE-2024-5335, presenta un alto riesgo para la seguridad de las instalaciones afectadas.

Contexto técnico

La vulnerabilidad se origina en una inyección de objetos PHP que puede ser aprovechada sin necesidad de autenticación. Esto significa que un atacante podría enviar solicitudes maliciosas para ejecutar código PHP arbitrario en el servidor, comprometiendo así la integridad del sitio web.

Impacto potencial

El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante ejecutar comandos en el servidor, lo que podría llevar a la toma de control total del sitio. Esto no solo afecta la seguridad del sitio, sino que también puede dañar la reputación de la empresa y resultar en pérdidas económicas.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas que desencadenan la ejecución de código malicioso. Dado que no se requiere autenticación, cualquier persona con conocimientos básicos puede intentar aprovecharla.

Mitigación recomendada

Para mitigar esta vulnerabilidad, es fundamental actualizar el plugin Ultimate Store Kit a la versión 2.0.0 o superior. Además, se recomienda implementar medidas de seguridad adicionales, como firewalls y escaneos de seguridad regulares.

Señales de detección

Se deben monitorizar los registros de acceso en busca de patrones inusuales, como solicitudes a endpoints específicos del plugin que no deberían ser accesibles sin autenticación. También es recomendable utilizar herramientas de detección de intrusiones.

Alcance afectado

Las versiones del plugin Ultimate Store Kit hasta la 1.6.4 son vulnerables. Las instalaciones que no han actualizado a la versión 2.0.0 o superior corren un alto riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

ultimate-store-kit

Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 2.4.1 - Cross-Site Request Forgery to Limited User Meta Update

MEDIUM PLUGIN

ultimate-store-kit

Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 2.3.0 - Missing Authorization

CRITICAL PLUGIN

ultimate-store-kit

Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider <= 2.0.3 - Unauthenticated PHP Object Injection

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto