El plugin Malware Scanner y Web Application Firewall para WordPress (ambos desarrollados por MiniOrange) presentan una vulnerabilidad de escalada de privilegios debido a la falta de verificación de capacidades en la función mo_wpns_init() en todas las versiones hasta, e incluyendo, la 4.7.2 (para Malware Scanner) y 2.1.1 (para Web Application Firewall). Esto permite a atacantes no autenticados escalar sus privilegios a los de un administrador.
La vulnerabilidad identificada con el ID CVE-2024-2172 permite a atacantes no autenticados acceder a funcionalidades de administrador en los plugins Malware Scanner y Web Application Firewall. Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar los plugins a las versiones más recientes disponibles. Adicionalmente, se debe monitorear de cerca cualquier actividad sospechosa en el sitio web y restringir el número de roles de usuario con privilegios de administrador.
Es fundamental que los usuarios de WordPress estén al tanto de las vulnerabilidades en plugins populares como Malware Scanner y Web Application Firewall, y tomen medidas proactivas para proteger sus sitios web. Mantener todos los plugins y temas actualizados, junto con la implementación de medidas de seguridad adicionales, es esencial para garantizar la integridad de un sitio web.