Fuente base de datos: Wordfence Intelligence
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.
Se ha identificado una vulnerabilidad crítica en el plugin Password Policy Manager, que permite la escalada de privilegios a través de la toma de control de cuentas. Esta falla afecta a las versiones hasta la 2.0.4 y ha sido calificada con un CVSS de 8.8.
La vulnerabilidad se origina en una gestión inadecuada de los permisos de usuario, permitiendo que suscriptores autenticados puedan escalar sus privilegios a roles más altos tras tomar el control de una cuenta. Esto representa una superficie de ataque significativa, especialmente en entornos donde múltiples usuarios tienen acceso.
La explotación de esta vulnerabilidad podría permitir a un atacante obtener acceso no autorizado a funciones administrativas, comprometiendo la integridad y confidencialidad de la información del sitio. Esto puede resultar en daños a la reputación del negocio y pérdidas económicas debido a la posible exposición de datos sensibles.
Los atacantes suelen aprovechar esta vulnerabilidad mediante técnicas de ingeniería social para obtener credenciales de usuario o mediante ataques de phishing, logrando así tomar el control de cuentas de suscriptores.
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Password Policy Manager a la versión 2.0.5 o superior. Además, se sugiere revisar los permisos de usuario y aplicar medidas de seguridad adicionales como la autenticación de dos factores.
Señales de posible explotación incluyen intentos inusuales de acceso a cuentas de usuario, cambios en los roles de usuario sin justificación y alertas de actividad sospechosa en el panel de administración.
Las versiones afectadas son todas las anteriores a la 2.0.5 del plugin Password Policy Manager. Se recomienda a los administradores de WordPress verificar la versión instalada y aplicar las actualizaciones necesarias.
acymailing
riaxe-product-customizer
barcode-scanner-lite-pos-to-manage-products-inventory-and-orders
one-click-login-as-user
bp-groupblog
wp-base-booking-of-appointments-services-and-events
woocommerce-multi-locations-inventory-management
worpit-admin-dashboard-plugin
¿Tu WordPress podría estar expuesto?
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un expertoGestiona el consentimiento por categoría según tus preferencias.
Imprescindibles para la navegación, seguridad y funcionamiento básico.
Nos ayuda a medir uso y rendimiento para mejorar contenidos y UX. Incluye un identificador anónimo de visitante para analizar navegación, formularios, chat y análisis WP.
Permite personalizar campañas y medir conversiones en canales externos.
Puedes cambiar o retirar el consentimiento en cualquier momento desde «Preferencias de cookies». Más información en la Política de cookies.