Se ha revelado una falla de seguridad cr\u00edtica en un popular complemento de WordPress llamado Miembro final<\/a> que cuenta con m\u00e1s de 200.000 instalaciones activas.<\/p>\n La vulnerabilidad, rastreada como CVE-2024-1071, tiene una puntuaci\u00f3n CVSS de 9,8 sobre un m\u00e1ximo de 10. Al investigador de seguridad Christiaan Swiers se le atribuye el m\u00e9rito de descubrir e informar la falla.<\/p>\n En un aviso publicado la semana pasada, la empresa de seguridad de WordPress Wordfence dicho<\/a> el complemento es “vulnerable a la inyecci\u00f3n SQL a trav\u00e9s del par\u00e1metro ‘clasificaci\u00f3n’ en las versiones 2.1.3 a 2.8.2 debido a un escape insuficiente en el par\u00e1metro proporcionado por el usuario y a la falta de preparaci\u00f3n suficiente en la consulta SQL existente”.<\/p>\n Como resultado, los atacantes no autenticados podr\u00edan aprovechar la falla para agregar consultas SQL adicionales a consultas ya existentes y extraer datos confidenciales de la base de datos.<\/p>\n Vale la pena se\u00f1alar que el problema solo afecta a los usuarios que han marcado la opci\u00f3n “Habilitar tabla personalizada para usermeta” en la configuraci\u00f3n del complemento.<\/p>\n Tras la divulgaci\u00f3n responsable el 30 de enero de 2024, los desarrolladores del complemento pusieron a disposici\u00f3n una soluci\u00f3n para la falla con el lanzamiento de la versi\u00f3n 2.8.3 el 19 de febrero.<\/p>\n Se recomienda a los usuarios que actualicen el complemento a la \u00faltima versi\u00f3n lo antes posible para mitigar posibles amenazas, especialmente a la luz del hecho de que Wordfence ha ya bloque\u00e9 un ataque<\/a> intentando explotar la falla durante las \u00faltimas 24 horas.<\/p>\n En julio de 2023, los actores de amenazas explotaron activamente otra deficiencia en el mismo complemento (CVE-2023-3460, puntuaci\u00f3n CVSS: 9,8) para crear usuarios administradores deshonestos y tomar el control de sitios vulnerables.<\/p>\n El desarrollo se produce en medio de un aumento en una nueva campa\u00f1a que aprovecha los sitios de WordPress comprometidos para inyectar drenadores de criptomonedas como Angel Drainer directamente o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen escurridores<\/a>.<\/p>\n “Estos ataques aprovechan t\u00e1cticas de phishing e inyecciones maliciosas para explotar la dependencia del ecosistema Web3 de las interacciones directas con la billetera, presentando un riesgo significativo tanto para los propietarios de sitios web como para la seguridad de los activos de los usuarios”, dijo el investigador de Sucuri Denis Sinegubko. dicho<\/a>.<\/p>\n Tambi\u00e9n sigue al descubrimiento de un nuevo esquema de drenaje como servicio (DaaS) llamado CG (abreviatura de CriptoGrab<\/a>) que gestiona un programa de afiliados de 10.000 miembros compuesto por hablantes de ruso, ingl\u00e9s y chino.<\/p>\n Uno de los canales de Telegram controlados por actores de amenazas “remite a los atacantes a un bot de Telegram que les permite ejecutar sus operaciones de fraude sin dependencias de terceros”, Cyfirma dicho<\/a> en un informe a finales del mes pasado.<\/p>\n “El bot permite al usuario obtener un dominio de forma gratuita, clonar una plantilla existente para el nuevo dominio, establecer la direcci\u00f3n de la billetera donde se supone que se enviar\u00e1n los fondos estafados y tambi\u00e9n proporciona protecci\u00f3n de Cloudflare para ese nuevo dominio”.<\/p>\n Tambi\u00e9n se ha observado que el grupo de amenazas utiliza dos bots de Telegram personalizados llamados SiteCloner y CloudflarePage para clonar un sitio web leg\u00edtimo existente y agregarle protecci\u00f3n de Cloudflare, respectivamente. Luego, estas p\u00e1ginas se distribuyen principalmente utilizando cuentas X (anteriormente Twitter) comprometidas.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Alerta-de-complemento-de-WordPress-una-vulnerabilidad-critica-de-SQLi.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n