Escalada de privilegis del plugin Houzez Login Register per WordPress
28/02/2023
CVE-2023-26009
CRÍTIC: (9,8)
CVSS3: 8,5
El plugin Houzez Login Register per a WordPress podria permetre a un atacant remot obtenir privilegis elevats al sistema causat per una mala configuració de seguretat. Mitjançant l’enviament d’una sol·licitud especialment dissenyada a l’endpoint que escolta les sol·licituds de creació de comptes. Un atacant podria explotar aquesta vulnerabilitat per prendre el control complet sobre el lloc de WordPress.
Sistemes Afectats
- Favethemes Houzez Login Register plugin for WordPress 2.6.3
Remediació
Actualitzeu a l’última versió del plugin Houzez Login Register per WordPress (2.6.4 o posterior), disponible al directori de plugins de WordPress.
Referències
- https://themeforest.net/item/houzez-real-estate-wordpress-theme/15752549
- https://www.bleepingcomputer.com/news/security/critical-flaws-in-wordpress-houzez-theme-exploited-to-hijack-websites/
- https://patchstack.com/database/vulnerability/houzez-login-register/wordpress-houzez-login-register-plugin-2-6-3-privilege-escalation
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26009
