Recopilación de vulnerabilidades WordPress.

Hunk Companion <= 1.8.4 – Falta de Autorización para la Instalación/Activación Arbitraria de Plugins por Usuarios no Autenticados

El plugin Hunk Companion para WordPress es vulnerable a la instalación/activación no autorizada de plugins debido a una comprobación de capacidad faltante en el endpoint /wp-json/hc/v1/themehunk-import de la API REST en todas las versiones hasta, e incluyendo, la 1.8.4. Esto permite a atacantes no autenticados instalar y activar plugins arbitrarios que pueden ser aprovechados para lograr la ejecución de código remoto si otro plugin vulnerable está instalado y activado.

Para subsanar este problema, se recomienda a los usuarios de Hunk Companion actualizar el plugin a la última versión disponible, en la cual se han aplicado correcciones de seguridad para garantizar que solo usuarios autorizados puedan instalar y activar plugins. Además, se aconseja revisar de manera regular los plugins instalados en el sitio web de WordPress y desactivar o eliminar aquellos que no sean necesarios para reducir la superficie de ataque.
Mantenerse actualizado con las últimas versiones de los plugins y realizar una gestión adecuada de los plugins instalados son medidas clave para prevenir vulnerabilidades de seguridad como la falta de autorización en la instalación/activación de plugins en el plugin Hunk Companion.

Related Article