La vulnerabilidad CVE-2024-12432 se encuentra en el plugin de WordPress WPC Shop as a Customer for WooCommerce en todas las versiones hasta, e incluyendo, 1.2.8. Esta vulnerabilidad se debe a que la función ‘generate_key’ no produce un valor lo suficientemente aleatorio, lo que permite a atacantes autenticados con acceso de nivel Suscriptor o superior, iniciar sesión como administradores del sitio.
La vulnerabilidad CVE-2024-12432 en el plugin WPC Shop as a Customer for WooCommerce permite a atacantes autenticados con acceso de nivel Suscriptor o superior, realizar un bypass de autenticación y escalar privilegios al generar una clave única a través de la función ajax_login(). Esto puede resultar en la toma de control de cuentas de administrador del sitio y la realización de acciones maliciosas. Para subsanar este problema, se recomienda a los usuarios actualizar el plugin a la última versión disponible y revisar regularmente las actualizaciones de seguridad.
Es fundamental para la seguridad de tu sitio web mantener todos los plugins y temas actualizados, así como implementar medidas adicionales de seguridad, como la utilización de plugins de protección de seguridad y la configuración de políticas de contraseñas robustas.