Los actores malintencionados están explotando una vulnerabilidad crítica en el Compañero galán complemento para WordPress para instalar otros complementos vulnerables que podrían abrir la puerta a una variedad de ataques.
La falla, identificada como CVE-2024-11972 (puntuación CVSS: 9,8), afecta a todas las versiones del complemento anteriores a la 1.9.0. El complemento tiene más de 10.000 instalaciones activas.
“Esta falla plantea un riesgo de seguridad significativo, ya que permite a los atacantes instalar complementos vulnerables o cerrados, que luego pueden ser explotados para ataques como la ejecución remota de código (RCE), la inyección SQL, los scripts entre sitios (XSS) o incluso el creación de puertas traseras administrativas”, WPScan dicho en un informe.
Para empeorar las cosas, los atacantes podrían aprovechar complementos obsoletos o abandonados para eludir las medidas de seguridad, alterar los registros de la base de datos, ejecutar scripts maliciosos y tomar el control de los sitios.
WPScan dijo que descubrió el defecto de seguridad al analizar una infección en un sitio de WordPress no especificado y descubrió que los actores de amenazas lo estaban utilizando como arma para instalar un complemento ahora cerrado llamado Consola de consultas de WPy, posteriormente, aprovechar un error de RCE en el complemento instalado para ejecutar código PHP malicioso.
Vale la pena señalar que la falla RCE de día cero en WP Query Console, rastreada como CVE-2024-50498 (Puntuación CVSS: 10,0), permanece sin parchear.
CVE-2024-11972 también es un bypass de parche para CVE‑2024‑9707 (Puntuación CVSS: 9,8), una vulnerabilidad similar en Hunk Companion que podría permitir la instalación o activación de complementos no autorizados. Esta deficiencia se solucionó en la versión 1.8.5.
En esencia, se debe a un error en el script “hunk‑companion/import/app/app.php” que permite que las solicitudes no autenticadas eviten las comprobaciones establecidas para verificar si el usuario actual tiene permiso para instalar complementos.
“Lo que hace que este ataque sea particularmente peligroso es su combinación de factores: aprovechar una vulnerabilidad previamente parcheada en Hunk Companion para instalar un complemento ahora eliminado con una falla conocida de ejecución remota de código”, señaló Daniel Rodríguez de WPScan.
“La cadena de explotación subraya la importancia de proteger todos los componentes de un sitio de WordPress, especialmente los temas y complementos de terceros, que pueden convertirse en puntos críticos de entrada para los atacantes”.
El desarrollo viene como Wordfence. revelado un defecto de alta gravedad en el Formularios WP complemento (CVE-2024-11205, puntuación CVSS: 8,5) que hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, reembolsen los pagos de Stripe y cancelen suscripciones.
La vulnerabilidad, que afecta a las versiones 1.8.4 hasta la 1.9.2.1 inclusive, se ha resuelto en las versiones 1.9.2.2 o posteriores. El complemento está instalado en más de 6 millones de sitios de WordPress.
About the Author
