Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades críticas que afectan a componentes (tema y plugin) de WordPress, que permitirían a un atacante remoto no autenticado obtener escalamiento de privilegios en el sistema afectado.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”. Las mismas se detallan a continuación:
- CVE-2023-26540 y CVE-2023-26009, ambas de severidad “Crítica”, con puntuaciones asignadas de 9.8. Estas vulnerabilidades se deben a la configuración incorrecta de seguridad en el tema Houzez Theme y el plugin Houzez Login Register de WordPress respectivamente. Esto permitiría a un atacante remoto sin autenticación obtener escalamiento de privilegios en los sitios webs a través del plugin afectado registrándose como usuario y seleccionando el rol de administrador, para así incluso tomar control completo del sitio.
Los productos afectados son:
- WordPress Houzez Theme versión 2.7.1 y anteriores.
- WordPress Houzez Login Register Plugin, versión 2.6.3 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://www.bleepingcomputer.com/news/security/critical-flaws-in-wordpress-houzez-theme-exploited-to-hijack-websites/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26540
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26009
- https://patchstack.com/database/vulnerability/houzez/wordpress-houzez-theme-2-7-1-privilege-escalation
- https://patchstack.com/database/vulnerability/houzez-login-register/wordpress-houzez-login-register-plugin-2-6-3-privilege-escalation
- https://themeforest.net/item/houzez-real-estate-wordpress-theme/15752549