Se ha revelado una falla de seguridad de m\u00e1xima gravedad en el complemento de donaciones y recaudaci\u00f3n de fondos GiveWP de WordPress que expone m\u00e1s de 100.000 sitios web a ataques de ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n
La falla, identificada como CVE-2024-5932 (puntuaci\u00f3n CVSS: 10.0), afecta a todas las versiones del complemento anteriores a la versi\u00f3n 3.14.2, que se lanz\u00f3 el 7 de agosto de 2024. Se atribuye a un investigador de seguridad, que utiliza el alias en l\u00ednea villu164, el descubrimiento y el informe del problema.<\/p>\n
El complemento es “vulnerable a la inyecci\u00f3n de objetos PHP en todas las versiones hasta la 3.14.1 inclusive a trav\u00e9s de la deserializaci\u00f3n de la entrada no confiable del par\u00e1metro ‘give_title'”, Wordfence dicho<\/a> en un informe de esta semana.<\/p>\n “Esto permite que atacantes no autenticados inyecten un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar c\u00f3digo de forma remota y eliminar archivos arbitrarios”.<\/p>\n La vulnerabilidad tiene su origen en una funci\u00f3n denominada “give_process_donation_form()”, que se utiliza para validar y desinfectar los datos del formulario ingresados, antes de pasar la informaci\u00f3n de la donaci\u00f3n, incluidos los detalles de pago, a la pasarela especificada.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda permitir que un actor de amenazas autenticado ejecute c\u00f3digo malicioso en el servidor, lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias a la \u00faltima versi\u00f3n.<\/p>\n La revelaci\u00f3n se produce d\u00edas despu\u00e9s de que Wordfence tambi\u00e9n… detallado<\/a> Otra falla de seguridad cr\u00edtica en los complementos InPost PL e InPost para WooCommerce de WordPress (CVE-2024-6500, puntuaci\u00f3n CVSS: 10.0) que hace posible que actores de amenazas no autenticados lean y eliminen archivos arbitrarios, incluido el archivo wp-config.php.<\/p>\n En los sistemas Linux, solo se pueden eliminar los archivos dentro del directorio de instalaci\u00f3n de WordPress, pero se pueden leer todos los archivos. El problema se ha corregido en la versi\u00f3n 1.4.5.<\/p>\n Otra deficiencia cr\u00edtica en JS Help Desk, un complemento de WordPress con m\u00e1s de 5000 instalaciones activas, tambi\u00e9n ha sido descubierto<\/a> (CVE-2024-7094, puntuaci\u00f3n CVSS: 9,8) que permite la ejecuci\u00f3n remota de c\u00f3digo debido a un fallo de inyecci\u00f3n de c\u00f3digo PHP. Se ha publicado un parche para la vulnerabilidad en la versi\u00f3n 2.8.7.<\/p>\n A continuaci\u00f3n se enumeran algunas de las otras fallas de seguridad resueltas en varios complementos de WordPress:<\/p>\n La instalaci\u00f3n de parches contra estas vulnerabilidades es una l\u00ednea de defensa crucial contra ataques que las explotan para distribuir esc\u00e1neres de tarjetas de cr\u00e9dito capaces de recolectar informaci\u00f3n financiera ingresada por los visitantes del sitio.<\/p>\n La semana pasada, Sucuri arrojar luz<\/a> en una campa\u00f1a de skimmer que inyecta JavaScript malicioso en los sitios web de comercio electr\u00f3nico de PrestaShop que aprovecha un WebSocket<\/a> Conexi\u00f3n para robar datos de tarjetas de cr\u00e9dito.<\/p>\n La empresa de seguridad de sitios web propiedad de GoDaddy tambi\u00e9n advirti\u00f3 a los propietarios de sitios de WordPress contra la instalaci\u00f3n de complementos y temas nulos, afirmando que podr\u00edan actuar como un vector para malware y otras actividades nefastas.<\/p>\n “Al final, utilizar complementos y temas leg\u00edtimos es una parte fundamental de la gesti\u00f3n responsable de un sitio web y la seguridad nunca debe verse comprometida por un atajo”, dijo Sucuri. dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/La-vulnerabilidad-del-complemento-GiveWP-para-WordPress-pone-en-riesgo.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
\n
\n
\n
<\/a><\/center><\/section>\n