Los sitios web que utilizan WordPress deben eliminar estos dos plugins.

Según The Hacker News , dos complementos de WordPress, Malware Scanner y Web Application Firewall de miniOrage, se enfrentan a una grave vulnerabilidad de seguridad, CVE-2024-2172, descubierta por Stiofan, con una puntuación de gravedad de 9,8 en el sistema de puntuación de vulnerabilidades de seguridad CVSS.

El error tiene un amplio impacto porque, aunque el desarrollador lo eliminó de la tienda de aplicaciones de WordPress el 7 de marzo de 2024, todavía puede tener un impacto porque se ha registrado que Malware Scanner está instalado y activo en hasta 10.000 sitios web, mientras que con Web Application Firewall es de 300.

Wordfence afirmó que la vulnerabilidad era el resultado de una comprobación faltante en el código del plugin, lo que permitía a un atacante no autenticado actualizar arbitrariamente la contraseña de cualquier usuario y elevar sus privilegios a administrador, lo que potencialmente podría llevar a una vulneración total del sitio web.

Con privilegios administrativos, los hackers pueden descargar fácilmente complementos adicionales, archivos zip maliciosos que contienen puertas traseras y modificar las publicaciones del sitio web para redirigir a los usuarios a otros sitios web maliciosos.

Anteriormente, se informó de un plugin similar, RegistrationMagic, con el código de error CVE-2024-1991 y una puntuación CVSS de 8.8, lo que también corresponde a una vulnerabilidad de escalada de privilegios de alta gravedad. Este plugin se ha descargado e instalado más de 10 000 veces.

WordPress es un famoso sistema de gestión de contenidos (CMS) de código abierto, ampliamente utilizado en todo el mundo . La facilidad de instalación, publicación y gestión de contenido en esta plataforma lo convierte en una opción ideal para todo tipo de sitios web, como tiendas online, portales y foros de discusión. Según w3techs , actualmente el 43,1 % de los sitios web del mundo utilizan este CMS.