El plugin Memberpress para WordPress es vulnerable a Server-Side Request Forgery (SSRF) en todas las versiones hasta, e incluyendo, la 1.11.29 a través del shortcode ‘mepr-user-file’. Esto permite que atacantes autenticados, con acceso de nivel Contributor y superior, realicen solicitudes web a ubicaciones arbitrarias originadas desde la aplicación web y pueden ser utilizadas para consultar y modificar información de servicios internos.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión más reciente de Memberpress tan pronto como sea posible. Además, se sugiere restringir los permisos de los usuarios contribuyentes y superiores para reducir el riesgo de explotación de esta vulnerabilidad. Los administradores de WordPress también pueden monitorear de cerca las solicitudes HTTP salientes desde la aplicación para detectar posibles intentos de SSRF.
Es crucial mantener todos los plugins y temas de WordPress actualizados para proteger el sitio de posibles vulnerabilidades de seguridad. La prevención y la monitorización activa son clave para mitigar los riesgos de ataques como el SSRF en Memberpress.