Se ha descubierto un compromiso de cadena de suministro de severidad crítica en múltiples complementos para WordPress. Un actor malicioso podría realizar la escritura de archivos arbitrarios, establecer puertas traseras y obtener el control total de los servidores afectados.
Productos afectados
- Accordion and Accordion Slider
- Album and Image Gallery Plus Lightbox
- Audio Player with Playlist Ultimate
- Blog Designer for Post and Widget — blog-designer-for-post-and-widget
- Countdown Timer Ultimate — countdown-timer-ultimate
- Featured Post Creative — featured-post-creative
- Footer Mega Grid Columns — footer-mega-grid-columns
- Hero Banner Ultimate — hero-banner-ultimate
- HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
- Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
- Popup Anything on Click — popup-anything-on-click
- Portfolio and Projects — portfolio-and-projects
- Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
- Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
- Preloader for Website — preloader-for-website
- Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
- Responsive WP FAQ with Category — sp-faq
- SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
- SP News And Widget — sp-news-and-widget
- Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
- Ticker Ultimate — ticker-ultimate
- Timeline and History Slider — timeline-and-history-slider
- Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
- WP Blog and Widgets — wp-blog-and-widgets
- WP Featured Content and Slider — wp-featured-content-and-slider
- WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
- WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
- WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
- WP Team Showcase and Slider — wp-team-showcase-and-slider
- WP Testimonial with Widget — wp-testimonial-with-widget
- WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget
Impacto
La vulnerabilidad se ha identificado como:
Compromiso de Cadena de Suministro: Existe una vulnerabilidad en la cadena de suministro que afecta a varios plugins desarrollados por EssentialPlugin para WordPress. Un actor malicioso remoto podría ejecutar funciones arbitrarias en el servidor para descargar un archivo fraudulento denominado wp-comments-posts.php e inyectar un bloque de código en el archivo wp-config.php. Este código permite la comunicación con una infraestructura de comando y control, facilitando la redirección de tráfico, la creación de páginas falsas invisibles para los administradores y el robo de información.
Recomendación
Se recomienda realizar una auditoría forense manual del archivo wp-config.php para eliminar cualquier bloque de código inyectado, ya que las actualizaciones automáticas no limpian este archivo. Asimismo, debe verificarse y eliminar la presencia del archivo malicioso wp-comments-posts.php en la raíz del sitio. Se insta a los administradores a rotar todas las credenciales de base de datos y claves de seguridad de WordPress tras la limpieza del sistema.
Referencias
https://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin
https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/