Se han revelado nuevas vulnerabilidades que afectan a distintos productos de WordPrees, estas fallas representan graves riesgos de seguridad y requieren atención inmediata para mitigar cualquier posible explotación.
El primer producto afectado es la versión premium de WordPress Automatic Plugin, una opción popular para automatizar las importaciones de contenido en sitios web de WordPress. Contiene dos vulnerabilidades de severidad crítica que se detallan a continuación:
CVE-2024-27956 (CVSS: 9.8): es una vulnerabilidad de SQL Injection, se debe a la falta de validación en el parámetro proporcionado por el usuario y conocimientos insuficientes de SQL. Los atacantes pueden aprovechar esta falla para obtener acceso sin restricciones y manipular consultas SQL, lo que podría resultar en el robo de datos y otras actividades maliciosas.
CVE-2024-27954 (CVSS: 9.8): esta vulnerabilidad permite la descarga de archivos no autenticados y la falsificación de solicitudes del lado del servidor. La explotación exitosa podría permitir que atacantes no autenticados realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y se puede utilizar para consultar y modificar información de servicios internos, además de acceder a archivos arbitrarios en el servidor que pueden contener información confidencial.
GamiPress, uno de los complementos de gamificación más populares para recompensar puntos, logros, insignias y rangos en WordPress; se ve afectado por la siguiente vulnerabilidad de severidad alta:
CVE-2024-1799 (CVSS: 8.8): es una vulnerabilidad de SQL Injection a través del atributo ‘achievement_types’ de gamipress_earnings, esto se debe a la falta de validación en el parámetro proporcionado por el usuario y conocimientos insuficientes de SQL. La explotación exitosa puede permitir que los atacantes autenticados, con acceso de nivel de colaborador o superiores, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
Versiones afectadas:
- CVE-2024-27956 y CVE-2024-27954: WordPress Automatic Plugin 3.92.0 y anteriores.
- CVE-2024-1799: GamiPress 6.8.6 y anteriores.
Solución:
- CVE-2024-27956 y CVE-2024-27954: WordPress Automatic Plugin 3.92.1
- CVE-2024-1799: GamiPress 6.8.7
Recomendaciones:
- Actualizara la última versión disponible del complemento afectado para corregir estas vulnerabilidades y mitigar los riesgos de seguridad.
- Implementar medidas de monitoreo para detectar y responder rápidamente a posibles intentos de explotación.
Referencias:
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/gamipress/gamipress-the-1-gamification-plugin-to-reward-points-achievements-badges-ranks-in-wordpress-686-authenticated-contributor-sql-injection-via-shortcode
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-automatic/automatic-3920-unauthenticated-arbitrary-file-download-and-server-side-request-forgery
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-automatic/automatic-3920-unauthenticated-sql-injection
- https://securityonline.info/40000-sites-exposed-wordpress-plugin-update-critical-cve-2024-27956-cve-2024-27954/?expand_article=1