Fuente base de datos: Wordfence Intelligence

WPLMS < 1.9.9.5.2 - Authenticated (Contributor+) Arbitrary Directory Deletion

THEME HIGH CVE-2024-56055

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de eliminación arbitraria de directorios en el tema WPLMS, afectando a versiones anteriores a 1.9.9.5.2. Este fallo permite a usuarios autenticados con rol de contribuyente o superior realizar acciones no autorizadas.

Contexto técnico

La vulnerabilidad se origina en una mala gestión de permisos en el tema WPLMS, permitiendo a los usuarios autenticados eliminar directorios en el servidor. La superficie de ataque se limita a aquellos que tienen acceso al backend del sitio con un rol de contribuyente o superior.

Impacto potencial

El impacto potencial incluye la pérdida de datos críticos y la posibilidad de comprometer la integridad del sitio web. Esto podría resultar en interrupciones del servicio y daños a la reputación de la empresa, así como posibles implicaciones legales si se pierden datos sensibles.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad a través de peticiones maliciosas enviadas desde la interfaz de administración del sitio, utilizando credenciales de usuario válidas para ejecutar comandos de eliminación de directorios.

Mitigación recomendada

Se recomienda actualizar el tema WPLMS a la versión 1.9.9.5.2 o superior. Además, se debe revisar y restringir los permisos de los usuarios, limitando el acceso a funciones críticas solo a aquellos que realmente lo necesiten.

Señales de detección

Señales de posible explotación incluyen registros de actividad inusual en el panel de administración, intentos de eliminación de directorios no autorizados y alertas de cambios en la estructura de archivos del servidor.

Alcance afectado

Las versiones del tema WPLMS anteriores a la 1.9.9.5.2 están afectadas. Se recomienda a todos los usuarios de este tema que verifiquen su versión y apliquen las actualizaciones necesarias.

Vulnerabilidades relacionadas

MEDIUM THEME

wplms

WPLMS <= 4.970 - Missing Authorization

CRITICAL THEME

wplms

WPLMS <= 1.9.9 - Unauthenticated Privilege Escalation

MEDIUM THEME

wplms

WPLMS <= 1.9.9 - Missing Authorization to Unauthenticated User Token Generation

HIGH THEME

wplms

WPLMS < 1.9.9.5 - Unauthenticated Arbitrary Directory Deletion

CRITICAL THEME

wplms

WPLMS <= 1.9.9 - Unauthenticated Arbitrary File Upload

MEDIUM THEME

wplms

WPLMS < 1.9.9.5.3 - Authenticated (Subscriber+) SQL Injection

HIGH THEME

wplms

WPLMS <= 1.9.9 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update

HIGH THEME

wplms

WPLMS < 1.9.9.5.2 - Authenticated (Subscriber+) Arbitrary File Deletion

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto