Recopilación de vulnerabilidades WordPress.

Th Shop Mania <= 1.4.9 – Instalación/Activación Arbitraria de Plugins Autenticados (Subscriber+)

La vulnerabilidad CVE-2024-10674 en el tema Th Shop Mania para WordPress permite la instalación arbitraria de plugins sin autorización debido a la falta de una comprobación de capacidades en la función th_shop_mania_install_and_activate_callback() en todas las versiones hasta, e incluyendo, la 1.4.9. Esto posibilita que atacantes autenticados, con acceso de nivel Suscriptor y superior, instalen plugins arbitrarios que pueden ser aprovechados para explotar otras vulnerabilidades y lograr ejecución de código remoto y escalada de privilegios.

Para protegerse de esta vulnerabilidad, se recomienda a los usuarios actualizar la versión del tema Th Shop Mania a la última disponible y monitorear activamente las actualizaciones de seguridad. Además, se aconseja revisar regularmente los plugins instalados en el sitio web y eliminar aquellos que no sean necesarios.
Es fundamental cerciorarse de que todos los temas y plugins de WordPress estén actualizados a la última versión para mantener la seguridad de un sitio web. La falta de autorización en la instalación de plugins puede ser aprovechada por atacantes para comprometer la integridad y confidencialidad de la información del sitio.

Related Article