La vulnerabilidad CVE-2024-10783 afecta al plugin MainWP Child para WordPress, permitiendo a atacantes no autenticados realizar una escalada de privilegios al registrar un sitio en un estado no configurado.
La vulnerabilidad se debe a la falta de comprobaciones de autorización en la función register_site en todas las versiones hasta, e incluyendo, la 5.2. Esto permite a atacantes no autenticados iniciar sesión como administradores en instancias donde MainWP Child no está conectado aún al MainWP Dashboard. Es importante destacar que esto solo afecta a sitios que tienen instalado MainWP Child y no lo han conectado al MainWP Dashboard, y no tienen habilitada la función de ID de seguridad única. Los sitios que ya están conectados al MainWP Dashboard y no tienen habilitada la función de ID de seguridad única, NO se ven afectados y no necesitan actualizar. La versión 5.2.1 contiene un parche parcial, aunque consideramos que la versión 5.3 es la solución completa.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar a la versión 5.3 del plugin MainWP Child lo antes posible y habilitar la función de ID de seguridad única. Además, se recomienda conectar los sitios afectados al MainWP Dashboard para evitar posibles ataques de escalada de privilegios.