Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se han identificado múltiples vulnerabilidades críticas en el plugin Crypto para WordPress (hasta la versión 2.15), que permiten a un atacante no autenticado obtener acceso a cualquier cuenta del sitio, incluidos administradores, mediante diversas técnicas de bypass de autenticación y CSRF (Cross-Site Request Forgery).

• CVE-2024-9988 con criticidad 9.8: Vulnerabilidad de autenticación bypass en la función crypto_connect_ajax_process::register, que permite a atacantes iniciar sesión sin validar correctamente el usuario proporcionado.

• CVE-2024-9989 con criticidad 9.8: Bypass de autenticación en la función crypto_connect_ajax_process::log_in, que otorga acceso al sitio con solo el nombre de usuario.

• CVE-2024-9990 con criticidad 8.8: Vulnerabilidad de Cross-Site Request Forgery (CSRF) en la función crypto_connect_ajax_process::check, que permite a un atacante iniciar sesión como cualquier usuario mediante una solicitud falsificada, siempre y cuando engañe a un administrador para que haga clic en un enlace específico.

Estas vulnerabilidades podrían dar  control total del sitio afectado, comprometiendo la seguridad de los datos y funcionalidades críticas.

Solución

• Actualizar a la versión  >= 2.16  de inmediato.

Recomendaciones

• Actualizar el plugin Crypto a la ultima version (v.2.16)
• Activar las actualizaciones automaticas de Wordpress

Referencias

• CVE-2024-9988
• CVE-2024-9989
• CVE-2024-9990