Vulnerabilidad crítica de día cero en un plugin de WordPress

Manuel Abreu Ortiz
Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores de seguridad, han advertido de una nueva vulnerabilidad crítica de día cero en un plugin de WordPress explotado activamente en la naturaleza.

El plugin Fancy Product Designer está instalado en más de 17.000 sitios, permitiendo a los usuarios subir imágenes y archivos PDF a los productos, según los expertos del proveedor de seguridad Wordfence.

La vulnerabilidad de la carga de archivos tiene una puntuación del Sistema de Puntuación de Vulnerabilidad Común (CVSS) de 9,8. Aunque el plugin Fancy Product Designer cuenta con algunas requisitorias para bloquear la subida de archivos maliciosos, los atacantes pueden eludirlas, fácilmente. En teoría, un atacante podría subir archivos PHP ejecutables a cualquier sitio con el plugin instalado, advirtió Gall.

Wordfence emitió una nueva regla para su producto de cortafuegos de pago, con actualizaciones posteriores en su versión gratuita el 30 de junio para proteger a los clientes de los ataques.

Sin embargo, se instó a los usuarios a desinstalar el plugin, por el momento.

Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator