Vulnerabilidad de día cero afecta a más de 17.000 sitios WordPress
Una vulnerabilidad en un plugin de WordPress permitiría que un atacante ejecute código remoto en una web afectada, pudiendo tomar control del sitio.
El equipo de Wordfence ha descubierto esta semana la explotación activa de un fallo en Fancy Product Designer. Este plugin está orientado a comercios online y permite a los usuarios personalizar productos mediante imágenes y ficheros PDF. En el momento de redacción de esta noticia se estima que el plugin está instalado en más de 17.000 WordPress. La vulnerabilidad se ha catalogado con el identificador CVE-2021-24370 y cuenta con una puntuación CVSS de 9.8 sobre 10.
Fancy Product Designer cuenta con algunas comprobaciones de seguridad para prevenir la subida de ficheros maliciosos. No obstante; no son suficientes y se pueden evitar con facilidad. Como consecuencia, un atacante puede subir un fichero con código PHP ejecutable a cualquier sitio con el plugin instalado en una versión no parcheada.
Desde el equipo de Wordfence no han publicado los detalles del error para prevenir que sea explotado a gran escala. En su informe recopilan algunos indicadores de compromiso para ayudar a los administradores de sistemas a detectar si un WordPress ha sido atacado aprovechando la vulnerabilidad.
Este tipo de fallos pone de manifiesto la importancia de contar con controles que sean capaces de leer en la capa de aplicación (capa 7) pudiendo identificar y bloquear este tipo de peticiones fraudulentas. Además, en webs de comercio electrónico, donde se debe cumplir la normativa PCI-DSS, es vital cumplir requisitos en materia de seguridad de la información y gestión de vulnerabilidades. A continuación os dejamos un video, que publicamos recientemente, en el que explicamos el concepto de lo que es un ‘firewall’.
Finalmente, desde Hispasec Sistemas recomendamos actualizar el plugin Fancy Product Designer a la versión 4.6.9 para mitigar el impacto de esta vulnerabilidad. Los usuarios de Wordfence en su versión gratuita tendrán disponible a finales de junio una regla para bloquear estos ataques, aunque es preferible actualizar manualmente el plugin.
Ver mas información al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.