Resumen ejecutivo
Se ha identificado una vulnerabilidad de tipo medio en el plugin Master Addons, específicamente en el SDK de Freemius hasta la versión 2.4.2. Esta vulnerabilidad se relaciona con la falta de controles de autorización adecuados.
Fuente base de datos: Wordfence Intelligence
Freemius SDK <= 2.4.2 - Missing Authorization Checks
PLUGIN
MEDIUM
CVE-2022-4974
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la ausencia de verificaciones de autorización en el SDK de Freemius, lo que permite a usuarios no autorizados realizar acciones que deberían estar restringidas. Esto amplía la superficie de ataque al permitir interacciones no deseadas con el sistema.
Impacto potencial
El impacto potencial de esta vulnerabilidad puede incluir la exposición de datos sensibles y la posibilidad de que un atacante realice acciones maliciosas en el sitio web. Esto podría derivar en pérdidas económicas y daño a la reputación de la empresa.
Vector de explotación
Los atacantes pueden intentar explotar esta vulnerabilidad enviando solicitudes maliciosas al plugin que no son verificadas adecuadamente, lo que les permite eludir las restricciones de acceso.
Mitigación recomendada
Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Master Addons a la versión 1.8.5 o superior. Además, se sugiere revisar las configuraciones de seguridad y los permisos de usuario en el sitio.
Señales de detección
Señales de posible explotación incluyen registros de accesos no autorizados o intentos de ejecución de funciones restringidas en el plugin. Monitorizar estos eventos puede ayudar a identificar actividades sospechosas.
Alcance afectado
Las versiones afectadas son todas las anteriores a la 1.8.5 del plugin Master Addons que utilizan el SDK de Freemius hasta la versión 2.4.2.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
master-addons
Master Addons For Elementor – Widgets, Extensions, Theme Builder, Popup Builder & Template Kits <= 2.1.3 - Authenticated (Author+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
master-addons
Master Addons For Elementor <= 2.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'ma_el_bh_table_btn_text'
MEDIUM
PLUGIN
master-addons
Master Addons for Elementor <= 2.0.9.9.4 - Unauthenticated Insecure Direct Object Reference
MEDIUM
PLUGIN
master-addons
Master Addons for Elementor <= 2.0.9.9.3 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
master-addons
Master Addons – Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations <= 2.0.8.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via fancyBox
MEDIUM
PLUGIN
master-addons
Master Addons – Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations <= 2.0.8.2 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
master-addons
Master Addons <= 2.0.7.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via id Parameter
MEDIUM
PLUGIN
master-addons
Master Addons <= 2.0.7.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Widgets
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto