Los plugins son Malware Scanner y Web Application Firewall de miniOrange
Se insta a los usuarios de WordPress de los plugins Malware Scanner y Web Application Firewall de miniOrange a que los eliminen de sus sitios web tras el descubrimiento de una falla de seguridad crítica.
La falla, rastreada como CVE-2024-2172, tiene una calificación de 9,8 sobre un máximo de 10 en el sistema de puntuación CVSS. Afecta a las siguientes versiones de los dos plugins:
• Malware Scanner (versions <= 4.7.2)
• Web Application Firewall (versions <= 2.1.1)
Vale la pena señalar que los mantenedores cerraron permanentemente los plugina a partir del 7 de marzo de 2024. Mientras que Malware Scanner tiene más de 10.000 instalaciones activas, Web Application Firewall tiene más de 300 instalaciones activas.
"Esta vulnerabilidad hace posible que un atacante no autenticado se otorgue privilegios administrativos actualizando la contraseña del usuario", informó Wordfence la semana pasada.
El problema es el resultado de una verificación de capacidad faltante en la función mo_wpns_init() que permite a un atacante no autenticado actualizar arbitrariamente la contraseña de cualquier usuario y escalar sus privilegios a los de administrador, lo que podría llevar a un compromiso total del sitio.
"Una vez que un atacante ha obtenido acceso de usuario administrativo a un sitio de WordPress, puede manipular cualquier cosa en el sitio objetivo como lo haría un administrador normal", dijo Wordfence.
"Esto incluye la capacidad de cargar archivos de plugins y temas, que pueden ser archivos zip maliciosos que contienen puertas traseras, y modificar publicaciones y páginas que pueden aprovecharse para redirigir a los usuarios del sitio a otros sitios maliciosos o inyectar contenido spam".
El desarrollo se produce cuando la compañía de seguridad de WordPress advirtió sobre una falla similar de escalada de privilegios de alta gravedad en el plugin RegistrationMagic (CVE-2024-1991, puntuación CVSS: 8.8) que afecta a todas las versiones, incluida la 5.3.0.0 y las anteriores.
El problema, solucionado el 11 de marzo de 2024, con el lanzamiento de la versión 5.3.1.0, permite a un atacante autenticado otorgarse privilegios administrativos actualizando la función de usuario. El plugin tiene más de 10.000 instalaciones activas.
"Esta vulnerabilidad permite a los actores de amenazas autenticados con permisos de nivel de suscriptor o superiores elevar sus privilegios a los de un administrador del sitio, lo que en última instancia podría conducir a un compromiso completo del sitio", dijo István Márton.