Una falla de día cero en la última versión de un complemento premium de WordPress conocido como Puerta de enlace WPG está siendo explotado activamente en la naturaleza, lo que potencialmente permite que los actores malintencionados se apoderen por completo de los sitios afectados.
rastreado como CVE-2022-3180 (puntaje CVSS: 9.8), el problema se está armando para agregar un usuario administrador malicioso a los sitios que ejecutan el complemento WPGateway, señaló la empresa de seguridad de WordPress, Wordfence.
«Parte de la funcionalidad del complemento expone una vulnerabilidad que permite a los atacantes no autenticados insertar un administrador malicioso», dijo Ram Gall, investigador de Wordfence. dijo en un aviso.
WPGateway se factura como un medio para que los administradores del sitio instalen, respalden y clonen complementos y temas de WordPress desde un tablero unificado.
El indicador más común de que un sitio web que ejecuta el complemento se ha visto comprometido es la presencia de un administrador con el nombre de usuario «rangex».
Además, la aparición de solicitudes a «//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1» en los registros de acceso es una señal de que el sitio de WordPress ha sido atacado utilizando la falla, aunque no implica necesariamente una violación exitosa.
Wordfence dijo que bloqueó más de 4,6 millones de ataques que intentaron aprovechar la vulnerabilidad contra más de 280.000 sitios en los últimos 30 días.
Se han retenido más detalles sobre la vulnerabilidad debido a la explotación activa y para evitar que otros actores se aprovechen de la deficiencia. En ausencia de un parche, se recomienda a los usuarios que eliminen el complemento de sus instalaciones de WordPress hasta que haya una solución disponible.
El desarrollo se produce días después de que Wordfence advirtiera sobre el abuso en la naturaleza de otra falla de día cero en un complemento de WordPress llamado BackupBuddy.
La revelación también llega como Sansec reveló que los actores de amenazas irrumpieron en el sistema de licencias de extensión de pescadocerdoun proveedor de integraciones populares de Magento-WordPress, para inyectar código malicioso diseñado para instalar un troyano de acceso remoto llamado Rekoobe.