Atacantes pueden explotar una vulnerabilidad crítica registrada bajo el ID CWE-79 en el complemento WP Product Review Lite instalado en más de 40,000 sitios de WordPress para inyectar código malicioso y apoderarse masivamente de sitios web vulnerables.
WP Product Review Lite ayuda a los propietarios de sitios a crear rápidamente artículos de revisión personalizados utilizando plantillas predefinidas. El complemento viene con soporte para incluir enlaces de afiliados, fragmentos enriquecidos, widgets de revisión, así como botones de compra para flujos de monetización adicionales.
El error de WP Product Review Lite encontrado por el equipo de investigación de Sucuri Labs puede ser explotado de forma remota por atacantes no autenticados, en una explotación exitosa, les permite inyectar scripts maliciosos en todos los productos almacenados en la base de datos del sitio objetivo.
«Los ataques no autenticados son muy graves porque pueden automatizarse, lo que facilita a los piratas informáticos organizar ataques exitosos y generalizados contra sitios web vulnerables. La cantidad de instalaciones activas, la facilidad de explotación y los efectos de un ataque exitoso son los que hacen que esta vulnerabilidad sea particularmente peligrosa», explicó el investigador de Sucuri Labs, John Castro.
Afortunadamente, al momento no se tiene conocimiento de ningún intento de explotación que tenga como objetivo esta vulnerabilidad.
El desarrollador de WP Product Review Lite, ThemeIsle, corrigió la vulnerabilidad en la versión 3.7.6 lanzada el 14 de mayo.
Se recomienda actualizar el complemento a la última versión lo antes posible para evitar posibles ataques con el objetivo de apoderarse de sus sitios web o redirigir a los visitantes y administradores a sitios maliciosos.
Casi 7,000 usuarios se han actualizado a la versión parcheada de WP Product Review Lite desde su lanzamiento, sin embargo existen más de 33,000 sitios que ejecutan versiones vulnerables del complemento aún expuestos a ataques.
Durante los últimos 30 días, los investigadores encontraron vulnerabilidades almacenadas de secuencias de comandos entre sitios (XSS almacenadas) en varios otros complementos, incluidos Ninja Forms, Real-Time Find and Replace y Contact Form 7 Datepicker, con más de 1,200,000 instalaciones activas.
Referencias:
- https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-allows-for-automated-takeovers/
- https://wordpress.org/plugins/wp-product-review/#description
- https://labs.sucuri.net/unauthenticated-stored-cross-site-scripting-in-wp-support-review/?utm_source=twitter&utm_medium=labs&utm_campaign=wyatt