Los sitios web que usan WordPress deben eliminar estos 2 complementos

Según The Hacker New , dos complementos de WordPress, Malware Scanner y Web Application Firewall de miniOrage, son vulnerables a una grave falla de seguridad, CVE-2024-2172, descubierta por Stiofan, con una puntuación de gravedad de 9,8 en una escala de 10 puntos del sistema de puntuación de vulnerabilidad de seguridad CVSS.

El error tiene un amplio impacto porque, aunque el desarrollador lo eliminó de la tienda de aplicaciones de WordPress el 7 de marzo de 2024, aún puede tener un impacto porque se ha registrado que Malware Scanner está instalado y activo en hasta 10,000 sitios web, mientras que con Web Application Firewall es 300.

Wordfence dijo que la vulnerabilidad fue el resultado de una verificación faltante en el código del complemento, lo que permitió a un atacante no autenticado actualizar arbitrariamente la contraseña de cualquier usuario y escalar privilegios a administrador, lo que potencialmente podría conducir a un compromiso completo del sitio web.

Con derechos administrativos, los piratas informáticos pueden descargar fácilmente complementos adicionales, archivos zip maliciosos que contienen puertas traseras y modificar publicaciones de sitios web para redirigir a los usuarios a otros sitios web maliciosos.

Anteriormente, se reportó un plugin similar, RegistrationMagic, con el código de error CVE-2024-1991 y una puntuación CVSS de 8.8, que también representa una vulnerabilidad de escalada de privilegios de alta gravedad. Este plugin se ha descargado e instalado más de 10,000 veces.

WordPress es un reconocido sistema de gestión de contenido (CMS) de código abierto, ampliamente utilizado en todo el mundo . Su facilidad de instalación, publicación y gestión de contenido lo convierte en la plataforma ideal para todo tipo de sitios web, como tiendas online, portales, foros de discusión... Según w3techs , el 43,1 % de los sitios web del mundo lo eligen.