El plugin TI WooCommerce Wishlist, utilizado ampliamente en sitios de WordPress, enfrenta una grave vulnerabilidad de seguridad que pone en riesgo a más de 100,000 sitios web. Esta falla permite a usuarios no autenticados ejecutar consultas SQL arbitrarias, lo que podría darles control total sobre los sitios afectados. Es crucial que los administradores de estos sitios tomen medidas inmediatas para protegerse contra posibles ataques.
- CVE-2024-43917 (CVSS 9.3): Esta vulnerabilidad crítica se origina en un defecto de inyección SQL en el código del plugin, lo que permite a los atacantes eludir las medidas de seguridad y manipular la base de datos del sitio de WordPress. Las consecuencias pueden incluir filtraciones de datos, alteraciones del sitio e incluso la toma de control total del mismo. Actualmente, la versión más reciente del plugin (2.8.2) no incluye un parche para esta vulnerabilidad, lo que aumenta la urgencia para los administradores.
Productos y versiones afectadas:
- TI WooCommerce Wishlist plugin (versiones anteriores a 2.8.2).
Solución:
- Desactivar y eliminar el plugin hasta que se publique una versión corregida a la más reciente (2.8.2).
Recomendaciones:
- Desactivar y eliminar el plugin TI WooCommerce Wishlist para evitar riesgos de explotación.
- Considerar alternativas seguras al plugin que ofrezcan funcionalidades similares sin la vulnerabilidad.
- Monitorear actualizaciones y avisos de seguridad del proveedor para estar al tanto de futuras soluciones.
Referencias:
- https://securityonline.info/cve-2024-43917-cvss-9-3-unpatched-sqli-flaw-in-ti-woocommerce-wishlist-threatens-100000-sites/
- https://nvd.nist.gov/vuln/detail/CVE-2024-43917
- https://vuldb.com/?id.276102