Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes <= 7.8.5 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Deletion

PLUGIN MEDIUM CVE-2024-12596

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de eliminación arbitraria de publicaciones en el plugin LifterLMS, afectando a versiones hasta 7.8.5. Esta falla permite a usuarios autenticados con rol de suscriptor o superior eliminar publicaciones sin la autorización adecuada.

Contexto técnico

La vulnerabilidad radica en la falta de controles de autorización en las funciones que gestionan la eliminación de publicaciones. Esto permite a usuarios con permisos limitados realizar acciones que deberían estar restringidas, comprometiendo la integridad del contenido del sitio.

Impacto potencial

El impacto puede ser significativo, ya que permite a usuarios no autorizados eliminar contenido crítico, lo que podría resultar en pérdida de datos y afectar la reputación del negocio. Además, una explotación exitosa podría llevar a una mayor desconfianza por parte de los usuarios y clientes.

Vector de explotación

Generalmente, esta vulnerabilidad se explota mediante el envío de solicitudes manipuladas a las funciones de eliminación del plugin, aprovechando la falta de comprobaciones de permisos para llevar a cabo la acción no autorizada.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin LifterLMS a la versión 7.8.6 o superior. Además, se sugiere revisar los permisos de usuario y aplicar políticas de acceso más estrictas para minimizar el riesgo de explotación.

Señales de detección

Se deben monitorizar los registros de actividad para detectar intentos inusuales de eliminación de publicaciones por parte de usuarios con rol de suscriptor. También se puede implementar un sistema de alertas para actividades sospechosas relacionadas con la gestión de contenido.

Alcance afectado

Las versiones del plugin LifterLMS desde la 7.8.5 y anteriores están afectadas. Se recomienda a los administradores de sitios que utilicen este plugin verificar su versión y aplicar las actualizaciones necesarias.

Vulnerabilidades relacionadas

HIGH PLUGIN

lifterlms

LifterLMS – WP LMS for eLearning, Online Courses, & Quizzes - Various Versions - Authenticated (Student+) Privilege Escalation

Ver ficha
HIGH PLUGIN

lifterlms

LifterLMS <= 8.0.6 - Unauthenticated SQL Injection

Ver ficha
MEDIUM PLUGIN

lifterlms

LifterLMS <= 8.0.1 - Missing Authorization to Unauthenticated Post Trashing

Ver ficha
MEDIUM PLUGIN

lifterlms

LifterLMS <= 8.0.0 - Reflected Cross-Site Scripting

Ver ficha
HIGH PLUGIN

lifterlms

LifterLMS <= 7.7.5 - Authenticated (Admin+) SQL Injection

Ver ficha
HIGH PLUGIN

lifterlms

LifterLMS – WordPress LMS Plugin for eLearning <= 7.6.2 - Authenticated (Contributor+) SQL Injection via Shortcode

Ver ficha
MEDIUM PLUGIN

lifterlms

LifterLMS <= 7.5.0 - Cross-Site Request Forgery

Ver ficha
MEDIUM PLUGIN

lifterlms

LifterLMS – WordPress LMS Plugin for eLearning <= 7.5.1 - Missing Authorization via process_review

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad