Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades explotadas activamente que afectan a varios plugins del CMS WordPress, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), escalamiento de privilegios, entre otros. Actualmente para el CVE-2023-30777 existe prueba de concepto (PoC) públicada.
El software afectado es:
- Plugin Essential Addons for Elementor, versiones 5.4.0 al 5.7.1.
- Plugin RegistrationMagic, versión 5.2.1.0 y anteriores.
- Plugin Advanced Custom Fields de WordPress, versiones anteriores a 6.1.6.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/05/BOL-CERT-PY-2023-21-Multiples-vulnerabilidades-en-plugins-de-WordPress.pdf
- https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-plugin-flaw-after-poc-exploit-released/
- https://www.bleepingcomputer.com/news/security/wordpress-elementor-plugin-bug-let-attackers-hijack-accounts-on-1m-sites/
- https://securityonline.info/authentication-bypass-flaw-cve-2023-2499-in-wordpress-plugin-with-over-10000-installations/
- https://www.cert.gov.py/noticias/vulnerabilidad-de-escalamiento-de-privilegios-en-plugin-de-wordpress-3/
- https://www.cert.gov.py/noticias/vulnerabilidad-de-cross-site-scripting-xss-en-plugin-de-wordpress-6/
- https://nvd.nist.gov/vuln/detail/CVE-2023-32243
- https://nvd.nist.gov/vuln/detail/CVE-2023-30777
- https://nvd.nist.gov/vuln/detail/CVE-2023-2499
- https://wordpress.org/plugins/advanced-custom-fields/#developers
- https://wordpress.org/plugins/essential-addons-for-elementor-lite/
- https://wordpress.org/plugins/custom-registration-form-builder-with-submission-manager/