Ciberseguridad 360 | Falla grave en WordPress deja expuestos a más de 200 000 sitios web

Dos fallos de seguridad cr�ticos que afectan a los plugins de protecci�n contra spam, antispam y cortafuegos de WordPress podr�an permitir a un atacante no autenticado instalar y habilitar plugins maliciosos en sitios susceptibles y lograr potencialmente la ejecuci�n remota de c�digo.

Las vulnerabilidades, rastreadas como CVE-2024-10542 y CVE-2024-10781, tienen una puntuaci�n CVSS de 9,8 sobre un m�ximo de 10,0. Se solucionaron en las versiones 6.44 y 6.45 publicadas este mes.

Instalado en m�s de 200.000 sitios de WordPress, el plugin CleanTalk's Spam protection, Anti-Spam, FireWall se anuncia como un �plugin antispam universal� que bloquea los comentarios, registros y encuestas de spam, entre otros.

Seg�n Wordfence, ambas vulnerabilidades se refieren a un problema de elusi�n de autorizaci�n que podr�a permitir a un actor malicioso instalar y activar plugins arbitrarios. Esto podr�a allanar el camino para la ejecuci�n remota de c�digo si el plugin activado es vulnerable por s� mismo.

El plugin es �vulnerable a la instalaci�n no autorizada de plugins arbitrarios debido a la falta de comprobaci�n de un valor vac�o en el valor ?api_key? de la funci�n ?perform? en todas las versiones hasta la 6.44 inclusive�, explic� el investigador de seguridad Istv�n M�rton, refiri�ndose a CVE-2024-10781.

Por otra parte, CVE-2024-10542 se deriva de un bypass de autorizaci�n a trav�s de la suplantaci�n inversa de DNS en la funci�n checkWithoutToken().

Independientemente del m�todo de desv�o, la explotaci�n exitosa de las dos deficiencias podr�a permitir a un atacante instalar, activar, desactivar o incluso desinstalar plugins.

Se recomienda a los usuarios del plugin que se aseguren de que sus sitios est�n actualizados a la �ltima versi�n parcheada para protegerse de posibles amenazas.

El desarrollo se produce cuando Sucuri ha advertido de m�ltiples campa�as que est�n aprovechando sitios WordPress comprometidos para inyectar c�digo malicioso responsable de redirigir a los visitantes del sitio a otros sitios a trav�s de anuncios falsos, robar credenciales de inicio de sesi�n, as� como soltar malware que captura contrase�as de administrador, redirige a sitios de estafa VexTrio Viper y ejecuta c�digo PHP arbitrario en el servidor.

Fuente: thehackernews