Dos fallas de seguridad críticas que afectan la protección contra spam, Anti-Spam y el complemento FireWall de WordPress podrían permitir que un atacante no autenticado instale y habilite complementos maliciosos en sitios susceptibles y potencialmente lograr la ejecución remota de código.
Las vulnerabilidades, rastreadas como CVE-2024-10542 y CVE-2024-10781tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0. Se solucionaron en las versiones 6.44 y 6.45 lanzadas este mes.
Instalado en más de 200.000 sitios de WordPress, el complemento FireWall, antispam y protección contra spam de CleanTalk está disponible anunciado como un “complemento antispam universal” que bloquea comentarios, registros, encuestas y más spam.
Según Wordfence, ambas vulnerabilidades se refieren a un problema de omisión de autorización que podría permitir a un actor malintencionado instalar y activar complementos arbitrarios. Esto podría allanar el camino para la ejecución remota de código si el complemento activado es vulnerable por sí solo.
El complemento es “vulnerable a una instalación arbitraria no autorizada de complementos debido a que falta una verificación de valor vacío en el valor ‘api_key’ en la función ‘perform’ en todas las versiones hasta la 6.44 inclusive”, dijo el investigador de seguridad István Márton. dichoen referencia a CVE-2024-10781.
Por otro lado, CVE-2024-10542 surge de una omisión de autorización mediante suplantación de DNS inversa en la función checkWithoutToken().
Independientemente del método de derivación, la explotación exitosa de las dos deficiencias podría permitir a un atacante instalar, activar, desactivar o incluso desinstalar complementos.
Se recomienda a los usuarios del complemento que se aseguren de que sus sitios estén actualizados a la última versión parcheada para protegerse contra posibles amenazas.
El desarrollo se produce cuando Sucuri advirtió sobre múltiple campañas que aprovechan sitios de WordPress comprometidos para inyectar código malicioso responsable de redirigir a los visitantes del sitio a otros sitios a través de anuncios falsos, hojeando credenciales de inicio de sesiónasí como soltar malware que captura contraseñas de administrador, redirige a sitios fraudulentos de VexTrio Viper y ejecuta código PHP arbitrario en el servidor.