Recopilación de vulnerabilidades WordPress.

Vulnerabilidad en WP JobSearch <= 2.6.7 – Bypass de Autenticación para Toma de Cuenta y Escalada de Privilegios

La vulnerabilidad CVE-2024-11925 en el plugin JobSearch WP Job Board para WordPress permite a atacantes no autenticados iniciar sesión como cualquier usuario, incluidos los administradores del sitio, si conocen el correo electrónico del usuario.

La vulnerabilidad de escalada de privilegios en el plugin JobSearch WP Job Board hasta la versión 2.6.7 se debe a que el plugin no verifica adecuadamente la identidad de un usuario al verificar una dirección de correo electrónico a través de la función user_account_activation. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario, incluidos los administradores del sitio, si conocen el correo electrónico del usuario afectado.
Para subsanar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin JobSearch WP Job Board a la última versión disponible lo antes posible. Además, se sugiere no compartir información confidencial como direcciones de correo electrónico en entornos en los que pueda ser accedida por terceros no autorizados.

Related Article