Los investigadores de Wordfence reportan vulnerabilidades en el plugin Orbit Fox de WordPress, en la cuales la más crítica de estas podría permitir a los atacantes inyectar código malicioso en sitios web vulnerables y / o tomar el control de un sitio web.
Orbit Fox es un complemento de WordPress la cuál permite a los administradores del sitio agregar funciones como formularios de registro, widgets, botones e íconos para compartir en redes sociales, monitoreo de tiempo de actividad, Google Analytics, entre otros. El complemento, de un desarrollador llamado ThemeIsle, ha sido instalado por más de 400,000 sitios.
La primera vulnerabilidad, con severidad crítica y con identificadores CVE aún pendientes, es una vulnerabilidad de elevación de privilegios que puede permitir que los atacantes con acceso de nivel de colaborador o superior escalen sus privilegios a los de un administrador y potencialmente se apoderen de un sitio de WordPress.
La segunda vulnerabilidad, que es de severidad media, implica un error de secuencias de comandos entre sitior (XSS) y que puede permitir que que atacantes con acceso a nivel de autor o colaborador inyecten JavaScript potencialmente malicioso en las publicaciones. Este tipo de scripts maliciosos se pueden utilizar para redirigir a los visitantes a sitios de publicidad maliciosa o crear nuevos usuarios administrativos, entre muchas otras acciones.
Las versiones afectadas son todas las versiones mayores o iguales a la 2.10.2. Se recomienda que los usuarios actualicen inmediatamente a la última versión disponible, que es la versión 2.10.3 en el momento de esta publicación.
Más información:
- https://threatpost.com/orbit-fox-wordpress-plugin-bugs/163020/
- https://www.wordfence.com/blog/2021/01/multiple-vulnerabilities-patched-in-orbit-fox-by-themeisle-plugin/
- https://wordpress.org/plugins/themeisle-companion/