Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo 'falta de comprobaciones de autorización' en el plugin Freemius SDK, afectando a versiones hasta la 2.4.2. Esta vulnerabilidad tiene una severidad media, con un CVSS de 6.3.
Fuente base de datos: Wordfence Intelligence
Freemius SDK <= 2.4.2 - Missing Authorization Checks
PLUGIN
MEDIUM
CVE-2022-4974
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
El fallo radica en la ausencia de controles adecuados que verifiquen la autorización de los usuarios al acceder a ciertas funcionalidades del plugin. Esto puede permitir a un atacante no autenticado realizar acciones no permitidas, comprometiendo así la seguridad del sistema.
Impacto potencial
El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante manipular el comportamiento del plugin y potencialmente acceder a datos sensibles o realizar acciones maliciosas dentro del entorno de WordPress, lo que podría afectar la integridad y disponibilidad de los servicios.
Vector de explotación
La explotación de esta vulnerabilidad puede llevarse a cabo mediante el envío de solicitudes maliciosas a las funciones del plugin que no implementan las comprobaciones de autorización necesarias, permitiendo así el acceso no autorizado a funcionalidades restringidas.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Freemius SDK a la versión 2.0.1 o superior. Además, se sugiere revisar la configuración de permisos y realizar auditorías de seguridad en el sitio para identificar posibles brechas.
Señales de detección
Las señales de posible explotación incluyen registros de acceso inusuales a funciones del plugin, así como intentos de acceso a recursos restringidos por parte de usuarios no autenticados.
Alcance afectado
Las versiones afectadas de este plugin son todas las anteriores a la 2.0.1, lo que incluye la 2.4.2 y versiones anteriores. Se recomienda verificar la instalación actual del plugin en los sitios de WordPress.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
blockspare
Blockspare <= 3.2.13.2 - Authenticated (Contributor+) Sensitive Information Exposure
MEDIUM
PLUGIN
blockspare
BlockSpare: Gutenberg Blocks & Patterns for Blogs, Magazines, Business Sites <= 3.2.13.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Image Carousel and Image Slider Widgets
MEDIUM
PLUGIN
blockspare
Blockspare <= 3.2.9 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
blockspare
Blockspare <= 3.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
blockspare
Gutenberg Page Builder Blocks & Ready-Made Patterns Library <= 3.2.4 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
blockspare
Blockspare <= 3.2.0 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
blockspare
Freemius SDK <= 2.5.9 - Reflected Cross-Site Scripting via fs_request_get
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto