Investigadores de seguridad de Patchstack han identificado dos nuevas vulnerabilidades en el plugin para WordPress Simple Membership, que afectan a las versiones 4.3.4 e inferiores. Las vulnerabilidades han sido clasificadas como CVE-2023-41957, que puede provocar una escalada de privilegios en el rol de miembro no autenticado y CVE-2023-41956, que permite tomar el control de la cuenta autenticada. Con la primera vulnerabilidad, los usuarios no autenticados podían registrar cuentas con niveles de afiliación arbitrarios, mientras que la segunda permitía a los usuarios autenticados hacerse con el control de cualquier cuenta de miembro mediante un proceso inseguro de restablecimiento de contraseña. Según el aviso de Patchstack, el proveedor del plugin respondió rápidamente después de que se informara de la vulnerabilidad el 29 de agosto, publicando la versión 4.3.5 al día siguiente, la cuál implementaba comprobaciones para validar los parámetros controlados por el usuario en los procesos personalizados de registro y restablecimiento de contraseña.

Leer más »

Tomado del Boletín de Noticias de Ciberseguridad – Global 29/09/2023
2023 © Telefónica Cyber Security & Cloud Tech S.L.U.