Vulnerabilidad de escalamiento de privilegios en plugin de WordPress

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta al plugin ProfilePress de WordPress, que permitiría a un atacante realizar escalamiento de privilegios en el sitio web afectado. 

La vulnerabilidad identificada como CVE-2023-41954, de severidad “Alta” y con puntuación asignada de 8.6. Esta vulnerabilidad se debe a una falla de seguridad en el plugin ProfilePress de WordPress. Esto permitiría a un atacante no autenticado elevar sus privilegios a un rol no administrador durante el registro de usuarios. 

El producto afectado es: 

• Plugin ProfilePress de WordPress, versión 4.13.1 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

• https://wordpress.org/plugins/wp-user-avatar/#developers 

Referencias: 

• https://patchstack.com/database/vulnerability/wp-user-avatar/wordpress-profilepress-plugin-4-13-1-unauthenticated-limited-privilege-escalation-vulnerability 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-41954 

• https://wordpress.org/plugins/wp-user-avatar/#developers 
• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-user-avatar/profilepress-4132-limited-privilege-escalation-via-acceptable-defined-roles