Fuente base de datos: Wordfence Intelligence

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.0 - Missing Authorization to Arbitrary Vendor Deletion

PLUGIN HIGH CVE-2024-8289

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin MultiVendorX para WooCommerce, que permite la eliminación arbitraria de vendedores sin la autorización adecuada. Esta falla afecta a las versiones hasta la 4.2.0 y se ha calificado con un alto nivel de severidad.

Contexto técnico

La vulnerabilidad se origina en un fallo de autorización que permite a usuarios no autorizados eliminar cuentas de vendedores. Esto puede comprometer la integridad de la plataforma de comercio electrónico y su funcionalidad, ya que se pueden eliminar vendedores legítimos sin el debido control.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la pérdida de datos críticos, así como en la interrupción de operaciones comerciales. Además, puede afectar la confianza de los usuarios en la plataforma, lo que podría traducirse en pérdidas económicas significativas.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante la manipulación de solicitudes HTTP que no son correctamente validadas, permitiendo a un atacante ejecutar acciones no autorizadas en el sistema.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin MultiVendorX a la versión 4.2.1 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar controles adicionales de seguridad en la gestión de cuentas de vendedor.

Señales de detección

Señales de posible explotación incluyen registros de eliminación de vendedores no autorizados, cambios inusuales en las cuentas de vendedor y actividad sospechosa en los registros de acceso.

Alcance afectado

Las versiones del plugin MultiVendorX hasta la 4.2.0 son vulnerables. Se recomienda a todos los usuarios de este plugin que realicen la actualización inmediata.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – WooCommerce Multivendor Marketplace Solutions <= 4.2.22 - Incorrect Authorization to Authenticated (Contributor+) Arbitrary Post Deletion

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.19 - Missing Authorization to Unauthenticated Table Rates Deletion

CRITICAL PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.14 - Unauthenticated Limited Local File Inclusion

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Cross-Site Request Forgery to Vendor Updates

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Missing Authorization to Forged Vendor Profile Deletion Email Sending

CRITICAL PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.0 - Missing Authorization to Limited Vendor Privilege Escalation/Account Takeover

HIGH PLUGIN

dc-woocommerce-multi-vendor

Multivendor Marketplace Solution for WooCommerce – WC Marketplace <= 3.8.11.8 - Multiple Unprotected AJAX Actions

HIGH PLUGIN

dc-woocommerce-multi-vendor

Multivendor Marketplace Solution for WooCommerce – WC Marketplace <= 3.8.11.8 - Local File Inclusion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto