Fuente base de datos: Wordfence Intelligence

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Missing Authorization to Forged Vendor Profile Deletion Email Sending

PLUGIN MEDIUM CVE-2024-9531

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo RCE en el plugin MultiVendorX para WooCommerce, que afecta a las versiones hasta la 4.2.4. Esta falla permite el envío no autorizado de correos electrónicos para la eliminación de perfiles de vendedor falsificados.

Contexto técnico

La vulnerabilidad radica en la falta de autorización adecuada al enviar correos electrónicos que permiten la eliminación de perfiles de vendedor. Esto expone a los sitios a ataques donde un atacante podría suplantar la identidad de un vendedor y solicitar la eliminación de su perfil sin la debida verificación.

Impacto potencial

El impacto puede ser considerable, ya que permite a un atacante eliminar perfiles de vendedor legítimos, lo que podría llevar a la pérdida de datos y confianza por parte de los usuarios. Esto podría afectar la reputación del negocio y su funcionamiento general.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de solicitudes manipuladas que no son correctamente validadas por el sistema, permitiendo así la ejecución de acciones no autorizadas.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin MultiVendorX a la versión 4.2.5 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales para el manejo de correos electrónicos y la gestión de perfiles.

Señales de detección

Señales de posible explotación incluyen registros de actividades inusuales relacionadas con la eliminación de perfiles de vendedor o intentos de envío de correos electrónicos no autorizados desde el sistema.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 4.2.5 del plugin MultiVendorX.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – WooCommerce Multivendor Marketplace Solutions <= 4.2.22 - Incorrect Authorization to Authenticated (Contributor+) Arbitrary Post Deletion

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.19 - Missing Authorization to Unauthenticated Table Rates Deletion

CRITICAL PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.14 - Unauthenticated Limited Local File Inclusion

MEDIUM PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.4 - Cross-Site Request Forgery to Vendor Updates

CRITICAL PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.0 - Missing Authorization to Limited Vendor Privilege Escalation/Account Takeover

HIGH PLUGIN

dc-woocommerce-multi-vendor

MultiVendorX – The Ultimate WooCommerce Multivendor Marketplace Solution <= 4.2.0 - Missing Authorization to Arbitrary Vendor Deletion

HIGH PLUGIN

dc-woocommerce-multi-vendor

Multivendor Marketplace Solution for WooCommerce – WC Marketplace <= 3.8.11.8 - Multiple Unprotected AJAX Actions

HIGH PLUGIN

dc-woocommerce-multi-vendor

Multivendor Marketplace Solution for WooCommerce – WC Marketplace <= 3.8.11.8 - Local File Inclusion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto