Los sitios web que utilizan WordPress deben eliminar estos dos complementos.

Según The Hacker News , dos complementos de WordPress, Malware Scanner y Web Application Firewall de miniOrage, presentan una vulnerabilidad de seguridad crítica, CVE-2024-2172, descubierta por Stiofan, que tiene una puntuación de gravedad de 9,8 sobre 10 en el sistema de puntuación de vulnerabilidades CVSS.

La vulnerabilidad tuvo un impacto generalizado porque, aunque el desarrollador la eliminó de la tienda de aplicaciones de WordPress el 7 de marzo de 2024, aún podía causar problemas, ya que se registró que Malware Scanner estaba instalado y activo en hasta 10.000 sitios web, en comparación con los 300 de Web Application Firewall.

Wordfence afirmó que esta vulnerabilidad se debía a la falta de comprobaciones en el código del complemento, lo que permitía a un atacante actualizar arbitrariamente la contraseña de cualquier usuario y elevar sus privilegios a administrador sin autenticación, lo que podría provocar una vulneración total del sitio web.

Con privilegios de administrador, los piratas informáticos pueden descargar fácilmente complementos adicionales, archivos zip maliciosos que contienen puertas traseras y modificar publicaciones de sitios web para redirigir a los usuarios a otros sitios web maliciosos.

Anteriormente, se informó de una vulnerabilidad similar llamada RegistrationMagic, identificada con el código CVE-2024-1991 y una puntuación CVSS de 8.8, que también constituye una vulnerabilidad de escalada de privilegios de alta gravedad. Este complemento ha sido descargado e instalado más de 10 000 veces.

WordPress es un popular sistema de gestión de contenido (CMS) de código abierto, ampliamente utilizado en todo el mundo . Su facilidad de instalación, carga y gestión de contenido lo convierte en una plataforma ideal para diversos tipos de sitios web, como tiendas online, portales y foros de discusión. Según w3techs , el 43,1 % de los sitios web a nivel mundial utilizan actualmente esta plataforma CMS.