El pentester Pedro José Navas, de Hispasec, ha descubierto una vulnerabilidad de riesgo medio, identificada como CVE-2024-35648, en el plugin de WordPress Emergency Password Reset. Este problema de seguridad, conocido como CSRF (Cross-Site Request Forgery), permite que un atacante ejecute acciones no autorizadas en nombre de un usuario autenticado, sin su consentimiento.
La vulnerabilidad en cuestión puede ser explotada por un atacante para cambiar las contraseñas de los usuarios sin su permiso, poniendo en peligro la seguridad de las cuentas afectadas. Un atacante también podría diseñar un formulario HTML que, al ser visitado por un administrador del sitio, actualice automáticamente ciertos ajustes de restablecimiento de contraseña, incluyendo el contenido del mensaje. Este tipo de ataque podría resultar en el robo de hashes NTLM en algunos clientes de correo.
Pedro José Navas identificó esta vulnerabilidad durante un análisis de seguridad de rutina. Para mitigar el riesgo asociado, se recomienda a los administradores de sitios que utilicen este plugin que actualicen a la versión 9.0, la cual incluye un parche para esta vulnerabilidad.
Además de actualizar el plugin, es aconsejable revisar y fortalecer las configuraciones de seguridad del sitio web y considerar la implementación de plugins de seguridad adicionales que ofrezcan protección contra ataques CSRF. Para obtener más información y actualizaciones sobre esta vulnerabilidad, visite el repositorio oficial del plugin en WordPress.org.
Accede a más contenido
Si estas interesado en ¿Es Vsphere una plataforma en la nube? pincha aquí.
Si estas interesado en saber más sobre Implementación de Cómo Implementar una Estrategia de Hosting Multiplataforma para Mejorar la Velocidad del Sitio pincha aquí.
Síguenos en LinkedIn ✅ Linkedin Hoswedaje
Y Suscríbete a YouTube para estar al día de nuestros video-tutoriales 📹Youtube Hoswedaje
