Ciberseguridad 360 | Nueva vulnerabilidad RCE en el plugin GiveWP de WordPress afecta a más de 100.000 sitios web

Se ha revelado un fallo de seguridad de m�xima gravedad en el plugin de donaciones y recaudaci�n de fondos GiveWP de WordPress que expone a m�s de 100.000 sitios web a ataques de ejecuci�n remota de c�digo.

El fallo, identificado como CVE-2024-5932 (puntuaci�n CVSS: 10,0), afecta a todas las versiones del complemento anteriores a la 3.14.2, publicada el 7 de agosto de 2024. Un investigador de seguridad, que se hace llamar villu164, ha descubierto y notificado el problema.

El plugin es vulnerable a la inyecci�n de objetos PHP en todas las versiones hasta la 3.14.1 inclusive, a trav�s de la deserializaci�n de la entrada no fiable del par�metro ?give_title?, dijo Wordfence en un informe esta semana.

"Esto hace posible que atacantes no autenticados inyecten un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar c�digo de forma remota y eliminar archivos arbitrarios."

La vulnerabilidad tiene su origen en una funci�n llamada "give_process_donation_form()", que se utiliza para validar y desinfectar los datos introducidos en el formulario, antes de pasar la informaci�n de la donaci�n, incluidos los detalles del pago, a la pasarela especificada.

La explotaci�n exitosa de la falla podr�a permitir a un actor de amenaza autenticado ejecutar c�digo malicioso en el servidor, por lo que es imperativo que los usuarios tomen medidas para actualizar sus instancias a la �ltima versi�n.

La revelaci�n se produce d�as despu�s de que Wordfence tambi�n detallara otro fallo de seguridad cr�tico en los plugins de WordPress InPost PL e InPost for WooCommerce (CVE-2024-6500, puntuaci�n CVSS: 10,0) que permite a los actores de amenazas no autenticados leer y eliminar archivos arbitrarios, incluido el archivo wp-config.php.

En los sistemas Linux, s�lo pueden borrarse los archivos del directorio de instalaci�n de WordPress, pero pueden leerse todos los archivos. El problema se ha corregido en la versi�n 1.4.5.

Tambi�n se ha descubierto otro fallo cr�tico en JS Help Desk, un plugin de WordPress con m�s de 5.000 instalaciones activas (CVE-2024-7094, puntuaci�n CVSS: 9,8) que permite la ejecuci�n remota de c�digo debido a un fallo de inyecci�n de c�digo PHP. Se ha publicado un parche para la vulnerabilidad en la versi�n 2.8.7.

A continuaci�n se enumeran otros fallos de seguridad resueltos en varios plugins de WordPress:

CVE-2024-6220 (puntuaci�n CVSS: 9.8): Un fallo de carga de archivos arbitrarios en el plugin ????? (Keydatas) que permite a atacantes no autenticados cargar archivos arbitrarios en el servidor del sitio afectado, resultando finalmente en la ejecuci�n de c�digo.

CVE-2024-6467 (puntuaci�n CVSS: 8.8): Un fallo de lectura arbitraria de archivos en el plugin de reserva de citas BookingPress que permite a los atacantes autenticados, con acceso de nivel de suscriptor y superior, crear archivos arbitrarios y ejecutar c�digo arbitrario o acceder a informaci�n sensible.

CVE-2024-5441 (puntuaci�n CVSS: 8,8): Un fallo de carga de archivos arbitrarios en el complemento Modern Events Calendar que permite a los atacantes autenticados, con acceso de suscriptor y superior, cargar archivos arbitrarios en el servidor del sitio afectado y ejecutar c�digo.

CVE-2024-6411 (puntuaci�n CVSS: 8.8): Un fallo de escalada de privilegios en el plugin ProfileGrid - User Profiles, Groups and Communities que permite a atacantes autenticados, con acceso a nivel de suscriptor y superior, actualizar sus capacidades de usuario a las de un administrador.

La aplicaci�n de parches contra estas vulnerabilidades es una l�nea de defensa crucial contra los ataques que las aprovechan para instalar skimmers de tarjetas de cr�dito capaces de recopilar la informaci�n financiera introducida por los visitantes del sitio.

La semana pasada, Sucuri sac� a la luz una campa�a de skimmer que inyecta en sitios web de comercio electr�nico PrestaShop JavaScript malicioso que aprovecha una conexi�n WebSocket para robar datos de tarjetas de cr�dito.

La compa��a de seguridad de sitios web propiedad de GoDaddy tambi�n ha advertido a los propietarios de sitios WordPress contra la instalaci�n de plugins y temas anulados, afirmando que podr�an actuar como un vector para el malware y otras actividades nefastas.

"A fin de cuentas, utilizar plugins y temas leg�timos es una parte fundamental de la gesti�n responsable de un sitio web, y la seguridad nunca debe comprometerse en aras de un atajo", afirma Sucuri.

Fuente: thehackernews