WordPress, una plataforma ampliamente utilizada para la creación de sitios web, ha sido afectada recientemente por vulnerabilidades en algunos de sus plugins. A continuación, se detallan las vulnerabilidades identificadas:
- CVE-2024-3552 (CVSS 9.8): El plugin Web Directory Free para WordPress es vulnerable a SQL Injection, en todas las versiones hasta la 1.6.9 inclusive, debido a la falta de validación en el parámetro proporcionado por el usuario y conocimientos insuficientes de SQL. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
- CVE-2024-3978 (CVSS 6.4): El plugin Jitsi Shortcode para WordPress presenta una vulnerabilidad de Stored Cross-Site Scripting, en todas las versiones hasta la 0.1 inclusive, debido a la validación insuficiente en la entrada y salida de datos en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada.
- CVE-2024-3977 (CVSS 4.4): El plugin WordPress Jitsi Shortcode para WordPress es vulnerable a Stored Cross-Site Scripting (secuencias de comandos almacenadas entre sitios) a través de la configuración de administrador, en todas las versiones hasta la 0.1 inclusive, debido a la validación insuficiente en la entrada y salida de datos proporcionados. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página infectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
- CVE-2024-4751 (CVSS 4.3): El plugin WP Prayer II para WordPress es vulnerable a Cross-Site Request Forgery (falsificación de solicitudes entre sitios) en todas las versiones hasta la 2.4.7 inclusive. Esto se debe a una validación faltante o incorrecta en una función. Esto hace posible que atacantes no autenticados actualicen la configuración del complemento a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
Productos y versiones afectadas:
- Web Directory Free: versiones anteriores a la 1.7.0.
- Jitsi Shortcode: todas las versiones hasta la 0.1.
- WP Prayer II: todas las versiones hasta la 2.4.7.
Solución:
- Web Directory Free: version 1.7.0
- Jitsi Shortcode y WP Prayer II: sin parches.
Recomendaciones:
- Mantener todos los plugins y temas de WordPress actualizados.
- Revisar los detalles de la vulnerabilidad en profundidad y emplear mitigaciones basadas en la tolerancia al riesgo de su organización.
- Considerar desinstalar el software afectado sin parches y buscar un reemplazo.
- Realizar auditorías periódicas de seguridad para identificar y mitigar posibles vulnerabilidades.
- Limitar los privilegios de los usuarios, especialmente en instalaciones multisitio de WordPress.
Referencias:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-jitsi-shortcodes/wordpress-jitsi-shortcode-01-authenticated-contributor-stored-cross-site-scripting
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-jitsi-shortcodes/wordpress-jitsi-shortcode-01-authenticated-admin-stored-cross-site-scripting
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-prayers-request/wp-prayer-ii-247-cross-site-request-forgery-to-settings-update
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/web-directory-free/web-directory-free-169-unauthenticated-sql-injection