Fuente base de datos: Wordfence Intelligence

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction <= 2.13.7 - Authentication Bypass via pms_payment_id en Paid Member Subscriptions (bypass de autenticacion) - version 2.13.8

PLUGIN CRITICAL CVE-2024-12919

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin 'Paid Membership Subscriptions' que permite el bypass de autenticación a través del parámetro 'pms_payment_id'. Esta falla afecta a versiones hasta la 2.13.7 y tiene un CVSS de 9.8.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin gestiona el parámetro 'pms_payment_id', permitiendo a un atacante eludir los controles de autenticación establecidos. Esto significa que un usuario no autenticado podría acceder a funciones restringidas del plugin.

Impacto potencial

El impacto de esta vulnerabilidad puede ser severo, ya que permite a atacantes acceder a contenido restringido o realizar acciones en nombre de otros usuarios, comprometiendo la integridad y la confidencialidad de los datos de los usuarios y afectando la confianza en el servicio.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad manipulando el parámetro 'pms_payment_id' en las solicitudes, lo que les permite eludir la autenticación y acceder a áreas protegidas del plugin.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin a la versión 2.13.8 o superior. Además, se sugiere revisar los registros de acceso para detectar actividades sospechosas y reforzar las políticas de autenticación.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a contenido restringido y cambios inusuales en la configuración de membresías. Monitorizar logs de acceso puede ayudar a detectar patrones anómalos.

Alcance afectado

Las versiones del plugin 'Paid Membership Subscriptions' hasta la 2.13.7 son las afectadas. Se recomienda a los usuarios que utilicen este plugin verificar su versión y aplicar la actualización necesaria.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

paid-member-subscriptions

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction <= 2.16.4 - Missing Authorization to Unauthenticated Arbitrary Member Subscription Auto Renewal

MEDIUM PLUGIN

paid-member-subscriptions

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction <= 2.13.4 - Unauthenticated Content Restriction Bypass to Sensitive Information Exposure

HIGH PLUGIN

paid-member-subscriptions

Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction <= 2.13.0 - Unauthenticated Arbitrary Shortcode Execution

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto