Una vulnerabilidad crítica ha sido descubierta en el plugin Woody Code Snippets para WordPress, una herramienta popular que permite a los administradores insertar fragmentos de código o texto duplicado en varias partes de un sitio web, como el encabezado, pie de página y publicaciones, utilizando shortcodes.
La falla, identificada como CVE-2024-3105, permite la ejecución remota de código (RCE) y representa un grave riesgo para los sitios que usan este plugin. Esta vulnerabilidad puede ser explotada por usuarios autenticados con acceso de nivel colaborador o superior, permitiéndoles potencialmente ejecutar código arbitrario en el servidor.
- CVE-2024-3105 (CVSS 9.9): El error se da debido a que la funcionalidad insert_php del plugin no restringe adecuadamente su uso a usuarios altamente autorizados, creando una apertura para que usuarios con menos privilegios exploten esta característica. Los usuarios con nivel de colaborador y superior pueden aprovechar el shortcode insert_php para ejecutar código PHP arbitrario en el servidor. Esto podría resultar en un compromiso completo del servidor, robo de datos, desfiguración del sitio web o la propagación de malware adicional.
Versiones afectadas:
- Woody Code Snippets: versiones anteriores a la 2.5.1.
Solución:
- Woody Code Snippets: versión 2.5.1 o superior.
Recomendaciones:
- Actualizar el plugin Woody Code Snippets a la versión 2.5.1 lo antes posible para mitigar los riesgos potenciales.
- Monitorear sitios en busca de cualquier actividad sospechosa, como cambios inesperados en el contenido o cuentas de usuario no autorizadas.
- Verificar y ajustar las configuraciones de permisos de usuario para asegurar que solo los administradores tengan acceso a funcionalidades críticas como la ejecución de código PHP.
Referencias: