Fuente base de datos: Wordfence Intelligence

WP User Manager – User Profile Builder & Membership <= 2.9.11 - Missing Authorization to Carbon Fields Custom Sidebar Addition/Removal

PLUGIN MEDIUM CVE-2024-10216

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

La vulnerabilidad identificada en el plugin WP User Manager afecta a las versiones hasta la 2.9.11, permitiendo la adición o eliminación no autorizada de campos personalizados en la barra lateral de Carbon Fields. Esta falla de seguridad tiene una severidad media, con un CVSS de 4.3.

Contexto técnico

La vulnerabilidad se origina en una falta de autorización adecuada en el manejo de los campos personalizados en el plugin WP User Manager. Esto permite a usuarios no autorizados modificar la configuración de la barra lateral de Carbon Fields, lo que puede comprometer la integridad de la información del perfil de usuario.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante no autorizado altere la información de los perfiles de usuario, lo que podría llevar a la manipulación de datos sensibles y a un deterioro de la confianza de los usuarios en la plataforma. Esto podría tener repercusiones negativas en la reputación del negocio y en la seguridad general del sitio.

Vector de explotación

La explotación de esta vulnerabilidad suele realizarse mediante técnicas que aprovechan la falta de controles de acceso en el plugin, permitiendo a atacantes insertar o eliminar campos personalizados sin la debida autorización.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin WP User Manager a la versión 2.9.12 o superior. Además, es aconsejable revisar los permisos de usuario y aplicar prácticas de hardening en la configuración del sitio.

Señales de detección

Señales de riesgo incluyen cambios inesperados en la configuración de los perfiles de usuario o en los campos personalizados, así como intentos de acceso no autorizado a las funciones del plugin.

Alcance afectado

Las versiones del plugin WP User Manager hasta la 2.9.11 son las afectadas. La vulnerabilidad fue corregida en la versión 2.9.12, publicada el 22 de noviembre de 2024.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

wp-user-manager

WP User Manager <= 2.9.12 - Authenticated (Subscriber+) Arbitrary File Deletion via 'current_user_avatar' Parameter

HIGH PLUGIN

wp-user-manager

User Manager <= 2.9.12 - Authenticated (Subscriber+) PHP Object Injection

MEDIUM PLUGIN

wp-user-manager

WP User Manager – User Profile Builder & Membership <= 2.9.11 - Missing Authorization to Authenticated (Subscriber+) User Meta Key Enumeration

MEDIUM PLUGIN

wp-user-manager

WP User Manager <= 2.9.10 - Cross-Site Request Forgery

HIGH PLUGIN

wp-user-manager

WP User Manager <= 2.6.2 - Arbitrary User Password Reset

MEDIUM PLUGIN

wp-user-manager

User Registration < 2.0.2 - Authenticated Stored Cross-Site Scripting

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto