Vulnerabilidad crítica en el plugin Woody Code Snippets de WordPress

Una vulnerabilidad crítica ha sido descubierta en el plugin Woody Code Snippets para WordPress, una herramienta popular que permite a los administradores insertar fragmentos de código o texto duplicado en varias partes de un sitio web, como el encabezado, pie de página y publicaciones, utilizando shortcodes.

La falla, identificada como CVE-2024-3105, permite la ejecución remota de código (RCE) y representa un grave riesgo para los sitios que usan este plugin. Esta vulnerabilidad puede ser explotada por usuarios autenticados con acceso de nivel colaborador o superior, permitiéndoles potencialmente ejecutar código arbitrario en el servidor.

  • CVE-2024-3105 (CVSS 9.9): El error se da debido a que la funcionalidad insert_php del plugin no restringe adecuadamente su uso a usuarios altamente autorizados, creando una apertura para que usuarios con menos privilegios exploten esta característica. Los usuarios con nivel de colaborador y superior pueden aprovechar el shortcode insert_php para ejecutar código PHP arbitrario en el servidor. Esto podría resultar en un compromiso completo del servidor, robo de datos, desfiguración del sitio web o la propagación de malware adicional.

Versiones afectadas:

  • Woody Code Snippets: versiones anteriores a la 2.5.1.

Solución:

  • Woody Code Snippets: versión 2.5.1 o superior.

Recomendaciones:

  • Actualizar el plugin Woody Code Snippets a la versión 2.5.1 lo antes posible para mitigar los riesgos potenciales.
  • Monitorear sitios en busca de cualquier actividad sospechosa, como cambios inesperados en el contenido o cuentas de usuario no autorizadas.
  • Verificar y ajustar las configuraciones de permisos de usuario para asegurar que solo los administradores tengan acceso a funcionalidades críticas como la ejecución de código PHP.

Referencias: