Los sitios web que usan WordPress deben eliminar estos 2 complementos

Según The Hacker New , dos complementos de WordPress, Malware Scanner y Web Application Firewall de miniOrage, son vulnerables a una grave falla de seguridad, CVE-2024-2172, descubierta por Stiofan, con una puntuación de gravedad de 9,8 en una escala de 10 puntos del sistema de puntuación de vulnerabilidad de seguridad CVSS.

El error tiene un amplio impacto porque, aunque el desarrollador lo eliminó de la tienda de aplicaciones de WordPress el 7 de marzo de 2024, aún puede tener un impacto porque se ha registrado que Malware Scanner está instalado y activo en hasta 10,000 sitios web, mientras que con Web Application Firewall es 300.

Wordfence dijo que la vulnerabilidad fue el resultado de una verificación faltante en el código del complemento, lo que permitió a un atacante no autenticado actualizar arbitrariamente la contraseña de cualquier usuario y escalar privilegios a administrador, lo que potencialmente podría conducir a un compromiso completo del sitio web.

Con derechos administrativos, los piratas informáticos pueden descargar fácilmente complementos adicionales, archivos zip maliciosos que contienen puertas traseras y modificar publicaciones de sitios web para redirigir a los usuarios a otros sitios web maliciosos.

Anteriormente, se informó sobre un complemento similar, RegistrationMagic, con el código de error CVE-2024-1991 y puntaje CVSS 8.8, que también es una vulnerabilidad de escalada de privilegios de alta gravedad. Este complemento también se ha descargado e instalado más de 10.000 veces.

WordPress es un popular sistema de gestión de contenido (CMS) de código abierto que se utiliza ampliamente en todo el mundo. La facilidad de instalación, subida y gestión de contenidos en esta plataforma CMS hace de WordPress una plataforma ideal para sitios web como tiendas online, portales, foros de discusión... Según w3techs , esta plataforma CMS es elegida actualmente por el 43,1% de los sitios web del mundo.