El ecosistema de WordPress ha sido afectado recientemente por diversas vulnerabilidades críticas y altas en varios de sus plugins. Estas fallas de seguridad ponen en riesgo la integridad de los sitios web que utilizan estas herramientas. A continuación, se detalla cada una de estas vulnerabilidades:
- CVE-2024-10124 (CVSS: 9.8): El plugin Vayu Blocks – Gutenberg Blocks for WordPress & WooCommerce presenta una vulnerabilidad de falta de autorización en la función tp_install(), esto permite que atacantes no autenticados instalen y activen plugins arbitrarios, lo que podría llevar a la ejecución remota de código si se activa otro plugin vulnerable. La versión 1.1.1 corrigió parcialmente esta vulnerabilidad.
- CVE-2024-11015 (CVSS: 9.8): El plugin Sign In With Google es vulnerable a un bypass de autenticación, esto se debe a una insuficiente verificación de valores nulos en la función authenticate_user, permitiendo a atacantes no autenticados iniciar sesión como el primer usuario registrado mediante Google OAuth.
- CVE-2024-11689 (CVSS: 8.8): El plugin HQ Rental Software presenta una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF), La falta de validación adecuada en la función displaySettingsPage() permite que atacantes no autenticados actualicen opciones arbitrarias mediante solicitudes manipuladas.
- CVE-2024-11443 (CVSS: 8.8): El plugin de:branding es vulnerable a modificaciones no autorizadas de datos, un atacante con acceso de nivel suscriptor o superior puede actualizar opciones arbitrarias debido a la falta de verificación de privilegios en la función debranding_save().
- CVE-2024-10590 (CVSS: 8.8): El plugin Opt-In Downloads permite la carga de archivos arbitrarios, debido a una validación insuficiente en la función admin_upload(). Esto puede ser aprovechado para ejecutar código remoto en servidores NGINX bajo ciertas condiciones.
- CVE-2024-12040 (CVSS: 8.8): El plugin Product Carousel Slider & Grid Ultimate for WooCommerce es vulnerable a Inyección de Archivos Locales (LFI) a través del atributo theme del shortcode wcpcsu. Esto permite a los atacantes autenticados ejecutar código PHP en archivos arbitrarios.
| CVE | Productos afectados | Versiones afectadas | Solución |
|---|---|---|---|
| CVE-2024-10124 | Vayu Blocks. | Todas las versiones hasta la 1.1.1. | Actualizar todos los plugins afectados a las últimas versiones disponibles. |
| CVE-2024-11015 | Sign In With Google. | Todas las versiones hasta la 1.8.0 (incluida). | |
| CVE-2024-11689 | HQ Rental Software. | Todas las versiones hasta la 1.5.29 (incluida). | |
| CVE-2024-11443 | de:branding. | Todas las versiones hasta la 1.0.2 (incluida). | |
| CVE-2024-10590 | Opt-In Downloads. | Todas las versiones hasta la 4.07 (incluida). | |
| CVE-2024-12040 | Product Carousel Slider & Grid Ultimate for WooCommerce. | Todas las versiones hasta la 1.9.10 (incluida). |
Recomendaciones:
- Verificar regularmente la existencia de actualizaciones para todos los plugins instalados.
- Implementar controles de acceso adicionales para minimizar el impacto de vulnerabilidades.
- Realizar auditorías periódicas de seguridad en los sitios web que utilicen WordPress.
Referencias: