Se han detectado diversas vulnerabilidades en plugins de WordPress.
Análisis
El plugin Customer Email Verification for WooCommerce para WordPress es vulnerable a Email Verification and Authentication Bypass en todas las versiones hasta, e incluyendo, 2.7.4 a través del uso de un código de activación insuficientemente aleatorio.
- CVE-2024-4185: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
El plugin ZD YouTube FLV Player para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta, e incluyendo, la 1.2.6 a través del parámetro $_GET[‘image’].
- CVE-2024-2663: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
El plugin ACF Front End Editor para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidad en la función update_texts() en todas las versiones hasta la 2.0.2 inclusive.
- CVE-2024-3072: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Recursos afectados
Para el plugin WooCommerce: versiones anteriores a la 2.7.4, inclusive.
Para el plugin ZD YouTube FLV Player: versiones anteriores a la 1.2.6, inclusive.
Para el plugin ACF Front End Editor: versiones anteriores a la 2.0.2, inclusive.
Recomendaciones
Para el plugin WooCommerce: actualizar a la versión más reciente 2.7.5.
Para el plugin ZD YouTube FLV Player: por el momento no hay solución.
Para el plugin ACF Front End Editor: por el momento no hay solución.
Referencias
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/emails-verification-for-woocommerce/customer-email-verification-for-woocommerce-274-email-verification-and-authentication-bypass-due-to-insufficient-randomness
https://nvd.nist.gov/vuln/detail/CVE-2024-2663
https://nvd.nist.gov/vuln/detail/CVE-2024-2663