Nuevas vulnerabilidades en plugins de WordPress

WordPress, una plataforma ampliamente utilizada para la creación de sitios web, ha sido afectada recientemente por vulnerabilidades en algunos de sus plugins. A continuación, se detallan las vulnerabilidades identificadas:

  • CVE-2024-3552 (CVSS 9.8): El plugin Web Directory Free para WordPress es vulnerable a SQL Injection, en todas las versiones hasta la 1.6.9 inclusive, debido a la falta de validación en el parámetro proporcionado por el usuario y conocimientos insuficientes de SQL. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • CVE-2024-3978 (CVSS 6.4): El plugin Jitsi Shortcode para WordPress presenta una vulnerabilidad de Stored Cross-Site Scripting, en todas las versiones hasta la 0.1 inclusive, debido a la validación insuficiente en la entrada y salida de datos en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
  • CVE-2024-3977 (CVSS 4.4): El plugin WordPress Jitsi Shortcode para WordPress es vulnerable a Stored Cross-Site Scripting (secuencias de comandos almacenadas entre sitios) a través de la configuración de administrador, en todas las versiones hasta la 0.1 inclusive, debido a la validación insuficiente en la entrada y salida de datos proporcionados. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
  • CVE-2024-4751 (CVSS 4.3): El plugin WP Prayer II para WordPress es vulnerable a Cross-Site Request Forgery (falsificación de solicitudes entre sitios) en todas las versiones hasta la 2.4.7 inclusive. Esto se debe a una validación faltante o incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen la configuración del complemento a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.

Productos y versiones afectadas:

  • Web Directory Free: versiones anteriores a la 1.7.0.
  • Jitsi Shortcode: todas las versiones hasta la 0.1.
  • WP Prayer II: todas las versiones hasta la 2.4.7.

Solución:

  • Web Directory Free: version 1.7.0
  • Jitsi Shortcode y WP Prayer II: sin parches.

Recomendaciones:

  • Mantener todos los plugins y temas de WordPress actualizados.
  • Revisar los detalles de la vulnerabilidad en profundidad y emplear mitigaciones basadas en la tolerancia al riesgo de su organización.
  • Considerar desinstalar el software afectado sin parches y buscar un reemplazo.
  • Realizar auditorías periódicas de seguridad para identificar y mitigar posibles vulnerabilidades.
  • Limitar los privilegios de los usuarios, especialmente en instalaciones multisitio de WordPress.

Referencias: