Vulnerabilidad crítica del complemento de WordPress bajo explotación activa amenaza a miles

Heaven32 Comments
Vulnerabilidad crítica del complemento de WordPress bajo explotación activa amenaza a miles

Vulnerabilidad crítica del complemento de WordPress bajo explotación activa amenaza a miles

Miles de sitios que ejecutan WordPress siguen sin parchear contra una falla de seguridad crítica en un complemento ampliamente utilizado que estaba siendo explotado activamente en ataques que permiten la ejecución no autenticada de código malicioso, dijeron investigadores de seguridad.

La vulnerabilidad, rastreada como CVE-2024-11972

se encuentra en Compañero galánun complemento que se ejecuta en 10.000 sitios que utilizan el sistema de gestión de contenidos WordPress. La vulnerabilidad, que tiene una clasificación de gravedad de 9,8 sobre 10 posibles, fue reparada a principios de esta semana. En el momento en que esta publicación se publicó en Ars, las cifras proporcionadas en la página de Hunk Companion indicaban que menos del 12 por ciento de los usuarios habían instalado el parche, lo que significa que casi 9.000 sitios podrían ser los siguientes en ser atacados.

Amenaza significativa y multifacética

“Esta vulnerabilidad representa una amenaza importante y multifacética, dirigida a sitios que utilizan tanto un tema ThemeHunk como el complemento Hunk Companion”, dijo Daniel Rodríguez, investigador de la firma de seguridad de WordPress WP Scan, escribió. “Con más de 10.000 instalaciones activas, esto expuso a miles de sitios web a ataques anónimos y no autenticados capaces de comprometer gravemente su integridad”.

Rodríguez dijo que WP Scan descubrió la vulnerabilidad mientras analizaba el compromiso del sitio de un cliente. La firma descubrió que el vector inicial era CVE-2024-11972. El exploit permitió a los piratas informáticos detrás del ataque hacer que los sitios vulnerables navegaran automáticamente a wordpress.org y descargaran Consola de consultas de WPun complemento que no se ha actualizado en años.