El plugin InstaWP Connect – 1-click WP Staging & Migration para WordPress presenta una vulnerabilidad de bypass de autenticación en todas las versiones hasta, e incluyendo, la 0.1.0.44. Esta vulnerabilidad se debe a una verificación insuficiente de la clave de API, lo que permite a atacantes no autenticados iniciar sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al nombre de usuario, y realizar diversas tareas administrativas.
La vulnerabilidad CVE-2024-6397 en el plugin InstaWP Connect permite a un atacante eludir la autenticación y obtener privilegios de administrador en un sitio WordPress afectado. Esta vulnerabilidad fue parcialmente corregida en la versión 0.1.0.44, pero aún era explotable a través de Cross-Site Request Forgery. Los usuarios afectados deben actualizar a la última versión del plugin tan pronto como sea posible para mitigar este riesgo de seguridad. También se recomienda revisar los registros de actividad del sitio en busca de comportamientos inusuales que puedan indicar una posible explotación de la vulnerabilidad.
Es fundamental que los usuarios del plugin InstaWP Connect – 1-click WP Staging & Migration actualicen a la última versión disponible, en este caso la 0.1.0.44, para mitigar el riesgo de autenticación bypass a administrador. Además, se recomienda mantenerse informado sobre las actualizaciones de seguridad de los plugins instalados y seguir las recomendaciones de buenas prácticas de seguridad en WordPress para proteger los sitios web de posibles ataques.