Resumen ejecutivo
Se ha identificado una vulnerabilidad crítica en el plugin WebToffee para WooCommerce, que permite la creación arbitraria de usuarios. Esta falla afecta a varias versiones anteriores a la 1.3.9 y tiene una puntuación CVSS de 8.8.
Fuente base de datos: Wordfence Intelligence
WebToffee Plugins <= (Various Versions) - Arbitrary User Creation
PLUGIN
HIGH
CVE-2020-12074
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad permite a un atacante no autenticado crear cuentas de usuario en el sistema, lo que podría llevar a un acceso no autorizado a áreas restringidas de la tienda online. Esto se debe a una falta de validación en las funciones de importación de usuarios del plugin.
Impacto potencial
La explotación de esta vulnerabilidad podría resultar en la creación de cuentas de usuario maliciosas, comprometiendo la integridad de la tienda y permitiendo potenciales fraudes o acceso a datos sensibles. El impacto en la reputación y la confianza del cliente puede ser significativo.
Vector de explotación
Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a las funciones de importación del plugin, lo que les permite crear usuarios sin necesidad de autenticación previa.
Mitigación recomendada
Actualizar el plugin WebToffee a la versión 1.3.9 o superior. Además, se recomienda revisar los registros de actividad de usuarios para detectar cualquier creación sospechosa de cuentas.
Señales de detección
Señales de riesgo incluyen la aparición de cuentas de usuario que no han sido creadas por administradores, así como un aumento inusual en el tráfico de solicitudes a las funciones de importación del plugin.
Alcance afectado
Afecta a todas las versiones del plugin WebToffee anteriores a la 1.3.9.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.6.2 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Read via download_file Function
LOW
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.6.2 - Directory Traversal to Authenticated (Administrator+) Limited Arbitrary File Deletion via admin_log_page Function
HIGH
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.6.2 - Authenticated (Admin+) PHP Object Injection via form_data Parameter
HIGH
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.6.2 - Authenticated (Administrator+) Server-Side Request Forgery via validate_file Function
HIGH
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.5.3 - Authenticated (Admin+) PHP Object Injection
LOW
PLUGIN
users-customers-import-export-for-wp-woocommerce
Import Export WordPress Users <= 2.5.2 - Authenticated (Shop Manager+) Path Traversal
HIGH
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.4.8 - Authenticated (Shop Manager+) Arbitrary File Upload
HIGH
PLUGIN
users-customers-import-export-for-wp-woocommerce
Export and Import Users and Customers <= 2.4.1 - Missing Authorization to Authenticated (Shop Manager) Arbitrary User Password Change
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto