440
Una vulnerabilidad crítica de ejecución de código ha comprometido el complemento GiveWP de WordPress, poniendo en riesgo miles de sitios web. Los usuarios que ejecutan este complemento deben actualizar su sitio con la última versión del complemento para recibir el parche.
Una vulnerabilidad en el complemento GiveWP permite la ejecución remota de código
Como se detalla en una publicación reciente en Wordfence, existía una vulnerabilidad crítica de ejecución de código en el complemento GiveWP. GiveWP es un conocido complemento de WordPress que proporciona a los usuarios funciones útiles para donaciones rápidas y recaudación de fondos. Pero el complemento, que cuenta con más de 100.000 instalaciones activas, también corre el riesgo de exponer miles de sitios de WordPress en todo el mundo a amenazas cibernéticas debido a vulnerabilidades.
Específicamente, esta vulnerabilidad es un problema de inyección de objetos PHP que afectó a todas las versiones del complemento GiveWP hasta la v.3.14.1. Esto fue causado por la “deserialización de entradas no confiables del parámetro 'give_title'”. La explotación de esta vulnerabilidad permite que un atacante no autenticado inyecte objetos PHP maliciosos. Además, la presencia de la cadena POP también permite a los atacantes realizar una variedad de acciones maliciosas, como ejecutar código malicioso de forma remota o eliminar archivos arbitrarios.
Esta vulnerabilidad, CVE-2024-5932, ha sido clasificada como de gravedad con una puntuación CVSS de 10,0. Esta es la puntuación de gravedad más alta asignada a una vulnerabilidad, lo que indica el nivel de amenaza más alto de la vulnerabilidad y, si se explota, podría causar un daño significativo a los usuarios afectados.
Se ha implementado el parche: ¡actualízalo ahora!
Esta vulnerabilidad llamó la atención del investigador de seguridad Villu Orav (villu164), quien asumió la responsabilidad de revelar la vulnerabilidad a través del programa de recompensas por errores de Wordfence.
Tras su informe, el equipo de GiveWP solucionó la falla en la versión 3.14.2 del complemento, lanzada a principios de este mes. Wordfence pagó a los investigadores una recompensa por errores de 4.998 dólares por este informe.
La página oficial de WordPress del complemento enumera la versión 3.15.1 como la última versión. Por lo tanto, los usuarios deben actualizar sus sitios web con esta versión del complemento para recibir todas las correcciones de seguridad y mejoras de funcionalidad.
Háganos saber su opinión en la sección de comentarios.
https://latesthackingnews.com/2024/08/28/givewp-plugin-vulnerability-risked-100000-websites-to-rce-attacks/
