El plugin AppPresser – Marco de Aplicaciones Móviles para WordPress es vulnerable a la escalada de privilegios a través de la toma de control de cuentas en todas las versiones hasta, e incluyendo, la 4.4.4. Esta vulnerabilidad se debe a que las funciones appp_reset_password() y validate_reset_password() no tienen suficientes controles para prevenir un exitoso ataque de fuerza bruta del OTP para cambiar una contraseña, o verificar que una solicitud de restablecimiento de contraseña provenga de un usuario autorizado. Esto hace posible que atacantes no autenticados generen y realicen fuerza bruta a un OTP que permita cambiar las contraseñas de cualquier usuario, incluido un administrador.
La vulnerabilidad CVE-2024-9305 en el plugin AppPresser podría poner en riesgo la seguridad de las cuentas de WordPress si no se toman las medidas adecuadas. Para subsanar este problema, es recomendable que los usuarios actualicen su plugin a la última versión disponible, en este caso, la 4.4.5 o posterior. Además, se sugiere implementar contraseñas fuertes y únicas para cada cuenta de usuario, y habilitar la autenticación de dos factores para añadir una capa adicional de seguridad.
Es crucial mantenerse actualizado con las últimas versiones de plugins y temas en WordPress, ya que los desarrolladores suelen lanzar actualizaciones de seguridad para corregir vulnerabilidades como la mencionada en este caso. La seguridad de las cuentas en WordPress es responsabilidad de los propietarios de los sitios, por lo que es fundamental tomar medidas proactivas para proteger la integridad de la información y la privacidad de los usuarios.