La Agencia de Ciberseguridad de Singapur ha emitido una alerta crítica sobre vulnerabilidades en varios plugins de WordPress. Estas vulnerabilidades en los plugins de WordPress, consideradas críticas, representan riesgos significativos para la seguridad de los sitios web, permitiendo potencialmente el acceso y explotación no autorizados por ciberdelincuentes.
Vulnerabilidades específicas en plugins
WordPress Copymatic – AI Content Writer & Generator: La explotación de esta vulnerabilidad (CVE-2024-31351) podría permitir a un atacante no autenticado subir archivos a un sitio web, comprometiendo potencialmente la seguridad. La gravedad de esta vulnerabilidad se destaca por su puntuación máxima CVSSv3.1 de 10 sobre 10, afectando especialmente a versiones del plugin anteriores a la 1.7.
Pie Register – Social Sites Login (Add on): Identificada con el CVE-2024-4544, esta vulnerabilidad del plugin permite evitar la autenticación, permitiendo así el acceso no autorizado a cuentas de usuario. Con una puntuación CVSSv3.1 de 9.8 sobre 10, las versiones del plugin antes de la 1.7.8 están afectadas.
Hash Form Drag & Drop Form Builder: La vulnerabilidad en este plugin para crear formularios (CVE-2024-5084) permite a los atacantes no autenticados subir archivos desconocidos, facilitando la ejecución de código remoto en los sitios afectados. Su gravedad, calificada con 9.8 sobre 10, afecta a versiones del plugin antes de la 1.1.1.
Country State City Dropdown CF7 Plugin: La vulnerabilidad (CVE-2024-3495) identificada en este plugin permite la inyección SQL, pudiendo comprometer datos sensibles almacenados en la base de datos del sitio web. La vulnerabilidad está calificada con un 9.8 sobre 10 y afecta a versiones anteriores a la 2.7.3.
WPZOOM Addons for Elementor (Templates, Widgets): Esta vulnerabilidad (CVE-2024-5147) permite a los atacantes subir y ejecutar archivos en el servidor, representando una grave amenaza para la seguridad del sitio web. Las versiones del plugin antes de la 1.1.38 son vulnerables, con una puntuación CVSSv3.1 de 9.8 sobre 10.
Medidas para solucionar estas vulnerabilidades
A los usuarios y administradores que utilizan las versiones afectadas de estos plugins de WordPress se les aconseja actualizar a las versiones más recientes cuanto antes para solucionar estas vulnerabilidades y proteger sus sitios web contra posibles explotaciones.
Para más detalles y orientación sobre la mitigación de estas vulnerabilidades de plugins de WordPress, los usuarios pueden dirigirse a la documentación respectiva de los plugins y las actualizaciones proporcionadas por los desarrolladores. Además, emplear medidas de seguridad como el parcheo virtual puede proporcionar protección provisional mientras se esperan las actualizaciones.
Inserción de skimmers de tarjetas en sitios de e-commerce