Recopilación de vulnerabilidades WordPress.

Debug Tool <= 2.2 – Falta de Autorización para Exposición de Información

El plugin Debug Tool para WordPress es vulnerable a accesos no autorizados de datos debido a la falta de una verificación de capacidad en la función info() en todas las versiones hasta, e incluyendo, la 2.2. Esto permite que atacantes autenticados, con acceso de nivel suscriptor y superior, obtengan información de phpinfo(). Cuando WP_DEBUG está habilitado, esto también puede ser explotado por usuarios no autenticados.

La vulnerabilidad CVE-2024-10588, conocida como ‘Missing Authorization’, permite que usuarios con roles de suscriptor y superiores accedan a información sensible a través del plugin Debug Tool. La falta de una verificación de capacidad en la función info() permite que los atacantes autenticados obtengan detalles de phpinfo() sin la debida autorización. Esto puede ser explotado incluso por usuarios no autenticados si WP_DEBUG está habilitado en el sitio de WordPress. Para mitigar este problema, se recomienda deshabilitar el plugin Debug Tool en caso de no ser necesario para el funcionamiento del sitio, o actualizarlo a una versión que aborde esta vulnerabilidad.
Es crucial que los administradores de sitios WordPress estén al tanto de las vulnerabilidades en plugins como Debug Tool y tomen medidas para proteger la información confidencial de los usuarios. Mantener los plugins actualizados y deshabilitar aquellos que no sean necesarios puede ayudar a reducir el riesgo de exposición de información sensible en los sitios web.

Related Article