Las vulnerabilidades en el tema Houzez y en el complemento de registro de inicio de sesión de WordPress Houzez exponen a miles de sitios de WordPress a amenazas potenciales.
Esta falla ha sido identificada como CVE-2024-22303 y CVE-2024-21743. Afecta a las versiones hasta 3.2.4 y 3.2.5 y está clasificado como un problema de alta prioridad con una puntuación CVSS de 8,8, lo que indica un riesgo significativo.
CVE-2024-22303 – Vulnerabilidad del tema Houzez de WordPress
Esta vulnerabilidad permite la elevación de privilegios, lo que permite a un atacante malicioso elevar los privilegios de acceso de una cuenta con menos privilegios a una cuenta con más privilegios.
Esto podría dar como resultado un control total de los sitios web afectados. Este problema está clasificado como A5: Configuraciones erróneas de seguridad en el Top 10 de OWASP.
Parches y mitigaciones
Patchstack ha lanzado un parche virtual para mitigar esta vulnerabilidad hasta que los usuarios puedan actualizar para corregir la versión 3.3.0. Se recomienda encarecidamente a los administradores del sitio web que actualicen inmediatamente para evitar abusos.
Detalles Software Tipo Houzez Tema Versión vulnerable Corregido en la versión 3.3.0 Prioridad de parche Alta Gravedad CVSS Alta (8.8) Fecha de publicación 17 de septiembre de 2024
CVE-2024-21743 – Complemento de registro de inicio de sesión de WordPress Houzez
Esta vulnerabilidad permite la elevación de privilegios, lo que permite a un atacante escalar el acceso desde una cuenta con menos privilegios a una cuenta con más privilegios, lo que le permite obtener control total sobre un sitio web afectado.
Este problema está clasificado como A5: Configuraciones erróneas de seguridad en el Top 10 de OWASP.
Descargue una plantilla gratuita de plan de respuesta a incidentes para equipos de seguridad: descarga gratuita
Parches y mitigaciones
Patchstack proporciona un parche virtual para mitigar esta vulnerabilidad hasta que los usuarios puedan actualizar para corregir la versión 3.3.0. Los administradores del sitio web deben actualizar inmediatamente para evitar posibles abusos.
Detalles Software Houzez Inicio de sesión Tipo de registro Complemento Versión vulnerable Corregido en la versión 3.3.0 Parche Prioridad alta CVSS Alta gravedad (8.8) Fecha de lanzamiento 17 de septiembre de 2024
Riesgos y recomendaciones
La gravedad de esta vulnerabilidad permite una explotación generalizada si no se aborda rápidamente. Los administradores deben priorizar la actualización de sus sitios a la versión 3.3.0 o posterior y considerar usar Patchstack para la mitigación automática.
Este incidente resalta la importancia de mantener el software actualizado e implementar sólidas medidas de seguridad para proteger los activos digitales de las amenazas en evolución.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
WordPress Theme & Plugin Vulnerabilities Exposes Thousands of Sites
