El plugin UserPro para WordPress es vulnerable a la escalada de privilegios en versiones hasta, e incluyendo, 3.6.0 debido al valor predeterminado inseguro ‘administrador’ para la opción ‘default_user_role’. Esto hace posible que atacantes no autenticados registren un usuario administrador incluso si el formulario de registro está deshabilitado.
La vulnerabilidad CVE-2024-9863 permite a un atacante registrar un usuario administrador en el sitio web de WordPress aprovechando el valor predeterminado del rol de usuario en el plugin de UserPro. Para subsanar este problema, se recomienda a los usuarios de WordPress actualizar el plugin a una versión más reciente que corrija esta vulnerabilidad. Además, se puede revisar y modificar manualmente el valor de ‘default_user_role’ en la base de datos para asignar un rol de usuario distinto a los registros automatizados.
Es crucial para los administradores de sitios web de WordPress mantener sus plugins actualizados y tomar medidas proactivas para mitigar posibles amenazas de seguridad como la escalada de privilegios. Con una correcta gestión de roles de usuario y actualizaciones regulares, se pueden evitar incidentes de seguridad como el descrito en esta publicación.