Vulnerabilidad en plugin WordPress que permite crear cuentas secretas de administrador

Crítica Alerta 5

Recursos Afectados

Páginas WordPress que utilicen el plugin “Ultimate Member” igual o anterior a la versión 2.6.6

Descripción

Se conoce que unos 200.000 sitios web basados en WordPress utilizan el plugin “Ultimate Member”. A este plugin se le ha detectado una vulnerabilidad crítica parcheada en la última versión (versión 2.6.7) lanzada el 1 de Julio. La vulnerabilidad permite la creación de cuentas secretas de administrador, a esta se le ha asignado el siguiente código: CVE-2023-2809 (con una puntuación CVSS de 9,8)

Solución

La vulnerabilidad ha sido solucionada con la actualización del plugin a 2.6.7

Para garantizar la seguridad de las webs WordPress se recomienda siempre tener el CMS y los plugins actualizados.

Detalle

Este es un problema muy grave, ya que atacantes sin autentificar pueden explotar esta vulnerabilidad y así poder crear nuevas cuentas de usuarios con privilegios de administrador, tomando así el control total del sitio web afectado.

Debido a que es una vulnerabilidad que está siendo explotada activamente, y ser el parche de seguridad que lo remedia muy reciente, los detalles técnicos sobre la misma todavía no se han hecho públicos.

Este problema salió a la luz después de que aparecieran distintos informes sobre cuentas de administrador fraudulentas que se iban añadiendo a los sitios afectados. Esto llevó a los responsables del plugin a publicar parches con correcciones parciales en las versiones 2.6.4, 2.6.5 y 2.6.6.

La versión 2.6.7 soluciona el fallo de seguridad, por lo que es recomendable que aquellos sitios web que hagan uso de este plugin lo actualicen a esta última versión. Además, como medida de seguridad adicional, los responsables tienen previsto incluir una nueva función que permitirá a los administradores del sitio web restablecer las contraseñas de todos los usuarios.

Referencias

Inscríbete para estar al día
Comparte esta alerta de seguridad:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Recibe las más importantes a tu email