Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad de escalada de privilegios autenticada afecta al plugin Newsletters para WordPress en todas sus versiones hasta la 4.9.9.2. Debido a una deficiente restricción en la actualización de metadatos de usuario, atacantes con acceso de suscriptor o superior pueden elevar sus privilegios al nivel de administrador. Esta vulnerabilidad CVE-2024-8247 con criticidad de 8.8 podría comprometer seriamente la seguridad de los sitios web afectados. Es necesario que el administrador otorgue permisos para editar opciones de pantalla en la página de correos enviados y borradores para que esta vulnerabilidad sea explotada.
Recursos afectados
- Plugin Newsletters para WordPress (versiones <= 4.9.9.2).
Solución/Mitigación
- Actualizar a la versión 4.9.9.3 o la más reciente del plugin Newsletters inmediatamente.
- Restringir el acceso a la administración del plugin únicamente a administradores.
Recomendaciones
- Revisar periódicamente los permisos de roles de usuario para evitar abusos y escaladas no autorizadas.
- Activar las actualizaciones automaticas de Wordpress.