Fuente base de datos: Wordfence Intelligence

WP Business Intelligence Lite <= 3.2.0 - Authenticated (Subscriber+) Missing Authorization to Privilege Escalation via Arbitrary SQL Modification (escalada de privilegios)

PLUGIN HIGH

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalación de privilegios en WP Business Intelligence Lite hasta la versión 3.2.0, que permite a usuarios autenticados modificar consultas SQL arbitrarias. Esto puede comprometer la integridad y seguridad de los datos en tu sitio web.

Contexto técnico

El fallo se origina en la falta de autorización adecuada para usuarios con rol de suscriptor, lo que les permite ejecutar modificaciones SQL sin restricciones. Esto se convierte en un vector de ataque potencial para la manipulación de datos y acceso no autorizado a funciones administrativas.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la alteración de datos críticos, afectando la operativa del negocio y la confianza de los usuarios. La severidad alta de esta vulnerabilidad (CVSS 8.0) indica un riesgo significativo para la seguridad del sitio.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad mediante el acceso a cuentas de usuario con privilegios de suscriptor, ejecutando comandos SQL no autorizados para escalar sus privilegios.

Mitigación recomendada

Actualizar WP Business Intelligence Lite a la versión 3.2.0 o superior para corregir la vulnerabilidad. Revisar y ajustar los permisos de usuario para limitar el acceso a funciones críticas. Implementar medidas de seguridad adicionales, como la monitorización de logs y la auditoría de accesos.

Señales de detección

Revisar logs de acceso para identificar intentos inusuales de modificación de datos o accesos no autorizados por parte de usuarios con rol de suscriptor.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.2.0 de WP Business Intelligence Lite. No se han confirmado otros escenarios o plugins relacionados.

Vulnerabilidades relacionadas

HIGH PLUGIN

e2pdf

E2Pdf <= 1.32.26 - Missing Authorization to Authenticated (Custom+) Arbitrary Option Update / Privilege Escalation via 'screen_action' Parameter

HIGH PLUGIN

contest-gallery

Contest Gallery <= 30.0.2 - Authenticated (Author+) Privilege Escalation via 'RegistryUserRole' Parameter

HIGH PLUGIN

latepoint

LatePoint <= 5.5.1 - Authenticated (Agent+) Privilege Escalation to Administrator via IDOR in OsOrdersController::create_or_update + Unauthenticated Customer-Cabinet Password Reset

CRITICAL PLUGIN

doctreat_core

Doctreat Core <= 1.6.8 - Unauthenticated Privilege Escalation

CRITICAL PLUGIN

listdom

Listdom: AI-powered Business Directory with Classifieds Ads Listings <= 5.5.0 - Unauthenticated Privilege Escalation

CRITICAL PLUGIN

loginpress-pro

LoginPress Pro <= 6.2.2 - Unauthenticated Privilege Escalation

HIGH PLUGIN

learning-management-system

Masteriyo LMS – LMS Course Builder, Quizzes & Certificates <= 2.2.0 - Authenticated (Subscriber+) Privilege Escalation

HIGH PLUGIN

events-for-geodirectory

Events Calendar for GeoDirectory <= 2.3.28 - Authenticated (Subscriber+) Privilege Escalation

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto