Vulnerabilidades críticas detectadas en múltiples plugins de WordPress

Recientemente se han identificado vulnerabilidades críticas que afectan a varios plugins de WordPress utilizados ampliamente. Estas vulnerabilidades incluyen problemas de inyección SQL, escalamiento de privilegios, carga de archivos arbitrarios, y otras amenazas que podrían comprometer la seguridad de los sitios web. A continuación, se detallan las vulnerabilidades identificadas:

  • CVE-2024-54261 (CVSS: 10): Inyección SQL. Esta vulnerabilidad afecta al plugin TAX SERVICE Electronic HDM, permitiendo la inyección de comandos SQL maliciosos.
  • CVE-2024-54262 (CVSS: 9.9): Carga sin restricciones de archivos peligrosos. El plugin Import Export For WooCommerce permite cargar archivos arbitrarios que podrían ser utilizados para comprometer el servidor.
  • CVE-2024-54273 (CVSS: 9.8): Decodificación de datos no confiables. La vulnerabilidad en el plugin Mail Picker permite la inyección de objetos a través de datos transformados..
  • CVE-2024-54293 (CVSS: 9.8): Asignación incorrecta de privilegios. Este problema afecta al plugin CE21 Suite, lo que permite el escalamiento de privilegios dentro del sistema.
  • CVE-2024-54294 (CVSS: 9.8): Evasión de autenticación mediante un canal alternativo. La vulnerabilidad afecta al plugin Firebase OTP Authentication, permitiendo la toma de cuentas mediante la omisión de autenticación.
  • CVE-2024-54295 (CVSS: 9.8): Evasión de autenticación mediante un canal alternativo. Esta vulnerabilidad se encuentra en el plugin ListApp Mobile Manager, facilitando la toma de cuentas.
  • CVE-2024-54296 (CVSS: 9.8): Evasión de autenticación mediante un canal alternativo. Afecta al plugin CoSchool LMS, lo que permite la omisión de autenticación y acceso no autorizado.
  • CVE-2024-54292 (CVSS: 9.3): Inyección SQL. La vulnerabilidad afecta al plugin Appsplate, permitiendo la ejecución de comandos SQL maliciosos.
  • CVE-2024-54234 (CVSS: 9.3): Inyección SQL. Esta vulnerabilidad afecta al plugin Limit Login Attempts, exponiendo el sistema a ataques de inyección SQL.
  • CVE-2022-46838 (CVSS: 9.1): Falta de autorización. La vulnerabilidad en el plugin JS Help Desk, permite la modificación no autorizada de configuraciones del sistema.
CVEProductos afectadosVersiones afectadasSolución
CVE-2024-54261TAX SERVICE Electronic HDM.Todas las versiones anteriores a la 1.1.2.Actualizar a la versión 1.1.2 o posterior.
CVE-2024-54262Import Export For WooCommerce.Todas las versiones anteriores a la 1.5.Actualizar a la versión 1.5 o posterior.
CVE-2024-54273Mail Picker.Todas las versiones anteriores a la 1.0.14.Actualizar a la versión 1.0.14 o posterior.
CVE-2024-54293CE21 Suite.Todas las versiones anteriores a la 2.2.0.Actualizar a la versión 2.2.0 o posterior.
CVE-2024-54294Firebase OTP Authentication.  Todas las versiones anteriores a la 1.0.1.Actualizar a la versión 1.0.1 o posterior.
CVE-2024-54295  ListApp Mobile Manager.Todas las versiones anteriores a la 1.7.7.Actualizar a la versión 1.7.7 o posterior.
CVE-2024-54296CoSchool LMS.Todas las versiones anteriores a la 1.2.Actualizar a la versión 1.2 o posterior.
CVE-2024-54292  Appsplate.Todas las versiones anteriores a la 2.1.3.Actualizar a la versión 2.1.3 o posterior.
CVE-2024-54234Limit Login Attempts.Todas las versiones anteriores a la 5.5.Actualizar a la versión 5.5 o posterior.
CVE-2022-46838JS Help Desk.Todas las versiones anteriores a la 2.7.1.Actualizar a la versión 2.7.1 o posterior.

Recomendaciones:

  • Actualizar todos los plugins afectados a las últimas versiones disponibles.
  • Verificar los registros de actividad del sistema para identificar posibles accesos o cambios no autorizados.
  • Implementar controles de seguridad adicionales, como el uso de un firewall de aplicación web (WAF), para proteger los sitios web ante intentos de explotación.

Referencias: