Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin HTML5 Video Player, que afecta a las versiones hasta la 2.5.32. Esta falla permite el acceso no autorizado a varias funciones a través de h5vp_ajax_handler.
Fuente base de datos: Wordfence Intelligence
HTML5 Video Player – mp4 Video Player Plugin and Block <= 2.5.32 - Missing Authorization in multiple functions via h5vp_ajax_handler (falta de autorizacion) - version 2.5.33
PLUGIN
MEDIUM
CVE-2024-7727
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Contexto técnico
La vulnerabilidad se origina en el manejo inadecuado de la autorización en el plugin HTML5 Video Player, permitiendo a usuarios no autenticados invocar funciones críticas. Esto expone la superficie de ataque a potenciales abusos de la funcionalidad AJAX del plugin.
Impacto potencial
El impacto de esta vulnerabilidad puede variar desde el acceso no autorizado a contenido restringido hasta la posibilidad de manipulación de datos. Esto puede comprometer la integridad del sitio y la confianza de los usuarios, afectando negativamente la reputación del negocio.
Vector de explotación
Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes AJAX maliciosas a las funciones afectadas, lo que les permite eludir los controles de acceso establecidos.
Mitigación recomendada
Se recomienda actualizar el plugin HTML5 Video Player a la versión 2.5.33 o superior. Además, se sugiere revisar las configuraciones de seguridad del sitio y realizar auditorías regulares de los plugins instalados.
Señales de detección
Señales de explotación pueden incluir registros de acceso inusuales a funciones del plugin o intentos de acceso a recursos restringidos sin la debida autenticación.
Alcance afectado
Todas las instalaciones del plugin HTML5 Video Player en versiones hasta la 2.5.32 están afectadas. La versión 2.5.33 y posteriores corrigen esta vulnerabilidad.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
html5-video-player
HTML5 Video Player – mp4 Video Player Plugin and Block <= 2.5.35 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via heading Parameter
MEDIUM
PLUGIN
html5-video-player
HTML5 Video Player – mp4 Video Player Plugin and Block <= 2.5.34 - Missing Authorization to Authenticated (Subscriber+) Limited Options Update
MEDIUM
PLUGIN
html5-video-player
Flash & HTML5 Video <= 2.5.30 - Missing Authorization
MEDIUM
PLUGIN
html5-video-player
Flash & HTML5 Video <= 2.5.31 - Authenticated (Subscriber+) Information Exposure
CRITICAL
PLUGIN
html5-video-player
HTML5 Video Player <= 2.5.26 - Unauthenticated SQL Injection
MEDIUM
PLUGIN
html5-video-player
HTML5 Video Player <= 2.5.24 - Unauthenticated SQL Injection via id
MEDIUM
PLUGIN
html5-video-player
Html5 Video Player <= 2.5.18 - Authenticated (Subscriber+) Stored Cross-Site Scripting
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto