Múltiples vulnerabilidades en plugins de WordPress

29/02/2024 Noticias 0

Se han reportado múltiples vulnerabilidades en plugins de WordPress, de severidades altas (2), media (1) y bajas (5).

Las vulnerabilidades fueron identificadas como:

Severidad alta:

  • CVE-2024-1981 (CVSS 9.8) WPvivid Backup and Migration: podría permitir a un actor malicioso agregar consultas SQL adicionales, a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos. 
  • CVE-2024-1468 (CVSS 8.8) Avada Website Builder For WordPress & WooCommerce:  podría permitir a un actor malicioso cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota. 

Severidad Media:

  • CVE-2024-1982 (CVSS 6.5) Avada Website Builder For WordPress & WooCommerce: podría permitir a un actor malicioso aprovechar una vulnerabilidad para realizar inyección SQL.

Severidad Baja:

  • CVE-2024-1341 (CVSS 4.9) Advanced iFrame y CVE-2024-0689 (CVSS 4.4) Custom Field Suite: estas vulnerabilidades podrían permitir a un actor malicioso inyectar scripts web en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.     
  • CVE-2024-1978 (CVSS 5.5) Friends: podría permitir a un actor malicioso realizar solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para consultas y modificar información de servicios internos. 
  • CVE-2024-1976 (CVSS 4.3) Marketing Optimizer: podría permitir a un actor malicioso realizar una inyección JavaScript a través de una solicitud falsificada a través de una acción como hacer click en un enlace. 
  • CVE-2024-1977 (CVSS 4.4) Restaurant Solutions: podría permitir a un actor malicioso realizar una inyección Script Web en páginas que se ejecutarán cada vez que un usuario acceda a una página. 

Productos afectados:

  • WPvivid Backup and Migration – Versión 0.9.68.
  • Avada Website Builder For WordPress & WooCommerce –  Versiones hasta 7.11.4
  • Versiones hasta 2.6.4.
  • Avada Website Builder For WordPress & WooCommerce – Versiones hasta 0.9.68.
  • Advanced iFrame – Versiones hasta 2024.1.
  • Custom Field Suite – 2.6.4.
  • Friends – Versiones hasta 2.8.5.
  • Marketing Optimizer – Versiones hasta 20200925.
  • Restaurant Solutions – Versión 1.0.0.

Recomendación:

  • Se recomienda actualizar a las versiones más recientes desde la página oficial: https://wordpress.org/plugins/

Referencias: 

  • https://www.wordfence.com/threat-intel/vulnerabilities/?page=1#jump/ 
  • https://www.cve.org/CVERecord?id=CVE-2024-1981
  • https://www.cve.org/CVERecord?id=CVE-2024-1468
  • https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/Avada/avada-website-builder-for-wordpress-woocommerce-7114-authenticated-contributor-arbitrary-file-upload/ 
Compartir: