Se ha revelado una falla de seguridad de máxima gravedad en el complemento de donaciones y recaudación de fondos GiveWP de WordPress que expone más de 100.000 sitios web a ataques de ejecución remota de código.
La falla, identificada como CVE-2024-5932 (puntuación CVSS: 10.0), afecta a todas las versiones del complemento anteriores a la versión 3.14.2, que se lanzó el 7 de agosto de 2024. Se atribuye a un investigador de seguridad, que utiliza el alias en línea villu164, el descubrimiento y el informe del problema.
El complemento es «vulnerable a la inyección de objetos PHP en todas las versiones hasta la 3.14.1 inclusive a través de la deserialización de la entrada no confiable del parámetro ‘give_title'», Wordfence dicho en un informe de esta semana.
«Esto permite que atacantes no autenticados inyecten un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar código de forma remota y eliminar archivos arbitrarios».
La vulnerabilidad tiene su origen en una función denominada «give_process_donation_form()», que se utiliza para validar y desinfectar los datos del formulario ingresados, antes de pasar la información de la donación, incluidos los detalles de pago, a la pasarela especificada.
La explotación exitosa de la falla podría permitir que un actor de amenazas autenticado ejecute código malicioso en el servidor, lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias a la última versión.
La revelación se produce días después de que Wordfence también… detallado Otra falla de seguridad crítica en los complementos InPost PL e InPost para WooCommerce de WordPress (CVE-2024-6500, puntuación CVSS: 10.0) que hace posible que actores de amenazas no autenticados lean y eliminen archivos arbitrarios, incluido el archivo wp-config.php.
En los sistemas Linux, solo se pueden eliminar los archivos dentro del directorio de instalación de WordPress, pero se pueden leer todos los archivos. El problema se ha corregido en la versión 1.4.5.
Otra deficiencia crítica en JS Help Desk, un complemento de WordPress con más de 5000 instalaciones activas, también ha sido descubierto (CVE-2024-7094, puntuación CVSS: 9,8) que permite la ejecución remota de código debido a un fallo de inyección de código PHP. Se ha publicado un parche para la vulnerabilidad en la versión 2.8.7.
A continuación se enumeran algunas de las otras fallas de seguridad resueltas en varios complementos de WordPress:
- CVE-2024-6220 (Puntuación CVSS: 9,8): una falla de carga de archivos arbitrarios en el complemento 简数采集器 (Keydatas) que permite a atacantes no autenticados cargar archivos arbitrarios en el servidor del sitio afectado, lo que en última instancia resulta en la ejecución del código.
- CVE-2024-6467 (Puntuación CVSS: 8,8) – Una falla de lectura de archivos arbitrarios en el complemento de reserva de citas BookingPress que permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, crear archivos arbitrarios y ejecutar código arbitrario o acceder a información confidencial.
- CVE-2024-5441 (Puntuación CVSS: 8,8) – Una falla de carga de archivos arbitrarios en el complemento Modern Events Calendar que permite a atacantes autenticados, con acceso de suscriptor y superior, cargar archivos arbitrarios en el servidor del sitio afectado y ejecutar código.
- CVE-2024-6411 (Puntuación CVSS: 8,8) – Una falla de escalada de privilegios en el complemento ProfileGrid – Perfiles de usuario, grupos y comunidades que permite a los atacantes autenticados, con acceso de nivel de suscriptor y superior, actualizar sus capacidades de usuario a las de un administrador.
La instalación de parches contra estas vulnerabilidades es una línea de defensa crucial contra ataques que las explotan para distribuir escáneres de tarjetas de crédito capaces de recolectar información financiera ingresada por los visitantes del sitio.
La semana pasada, Sucuri arrojar luz en una campaña de skimmer que inyecta JavaScript malicioso en los sitios web de comercio electrónico de PrestaShop que aprovecha un WebSocket Conexión para robar datos de tarjetas de crédito.
La empresa de seguridad de sitios web propiedad de GoDaddy también advirtió a los propietarios de sitios de WordPress contra la instalación de complementos y temas nulos, afirmando que podrían actuar como un vector para malware y otras actividades nefastas.
«Al final, utilizar complementos y temas legítimos es una parte fundamental de la gestión responsable de un sitio web y la seguridad nunca debe verse comprometida por un atajo», dijo Sucuri. dicho.