Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Se ha identificado una vulnerabilidad crítica en el plugin 'All In One Custom Login Page' que permite la escalada de privilegios para usuarios autenticados con rol de suscriptor y superiores. Esta falla podría comprometer la seguridad de las instalaciones afectadas.
El fallo se origina en la falta de autorización adecuada en ciertas funciones del plugin, lo que permite a los usuarios con privilegios limitados ejecutar acciones que deberían estar restringidas a usuarios con mayores permisos. Esto expone la superficie de ataque a usuarios autenticados que podrían aprovechar esta debilidad.
La explotación de esta vulnerabilidad podría permitir a un atacante elevar su nivel de acceso, lo que podría resultar en la manipulación de contenido, acceso a información sensible o incluso el control total del sitio. Esto representa un riesgo significativo tanto para la integridad de los datos como para la reputación del negocio.
Los atacantes suelen aprovechar esta vulnerabilidad mediante la autenticación como un usuario con privilegios bajos y luego intentan acceder a funciones restringidas que no deberían estar disponibles para ellos.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 7.1.2 o superior. Además, se sugiere revisar los roles y permisos asignados a los usuarios para asegurarse de que se mantengan las mejores prácticas de seguridad.
Las señales de posible explotación incluyen intentos de acceso a funciones administrativas por parte de usuarios con privilegios de suscriptor, así como registros de cambios inusuales en la configuración del plugin.
Las versiones del plugin 'All In One Custom Login Page' hasta la 7.1.1 son vulnerables. Se recomienda a los administradores de sitios que utilicen este plugin que verifiquen su versión y apliquen la actualización correspondiente.
acymailing
riaxe-product-customizer
barcode-scanner-lite-pos-to-manage-products-inventory-and-orders
one-click-login-as-user
bp-groupblog
wp-base-booking-of-appointments-services-and-events
woocommerce-multi-locations-inventory-management
worpit-admin-dashboard-plugin
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.