Se han reportado vulnerabilidades para los Plugins de WordPress (WP) Importer del proveedor Xylus Themes y en el plugin Forminator. El primero identificado como CVE-2024-32597 es susceptible a una vulnerabilidad del tipo Cross Site Scripting (XSS), esto podría permitir que un actor malicioso inyecte scripts maliciosos, como redirecciones, publicidades y otros elementos HTML, en su sitio web afectado por la vulnerabilidad. Para el del plugin forminator, se han reportado tres vulnerabilidades, una de severidad crítica, que permitiría a un actor malicioso realizar la subida de archivos de forma remota.
Productos Afectados:
La vulnerabilidad afecta a cualquier instalación de WordPress que utilice los siguientes Plugins:
- WP Plugin Importer del Tema Xylus (<= 1.0.7)
- WP Plugin Forminator (<= 1.29.0), (<=1.29.0) y (<=1.15.4)
Impacto de las Vulnerabilidades:
- CVE-2024-28890: Se ha asignado una puntuación en CVSSv3 de 9.8, con una severidad crítica. Un actor malicioso de forma remota podría obtener información sensible accediendo a archivos y causar denegación de servicio (DoS), la cual permite la carga de archivos sin restricciones.
- CVE-2024-31077: Se ha asignado una puntuación en CVSSv3 de 7.2, con una severidad alta. Un actor malicioso con acceso a privilegios de administrador, a través de consultas especialmente diseñadas en el plugin vulnerable podría realizar técnicas de inyección SQL (SQLi), que le permitiría obtener información sensible de la página web, manipular datos y causar una denegación de servicio (DoS).
- CVE-2024-31857: Se ha asignado una puntuación en CVSSv3 de 6.1, con una severidad media. Un actor malicioso podría aprovechar técnicas de cross-site scripting (XSS) de forma remota para obtener información del usuario, como datos personales, contraseñas u otra información confidencial. Además, podría modificar el contenido de las páginas web que el usuario visualiza en su navegador.
- CVE-2024-32597: Se le ha asignado una puntuación en CVSSv3 de 5.9, con una severidad media. La vulnerabilidad implica una insuficiente neutralización de datos de entrada durante la generación de páginas web del Plugin Importer del tema Xylus para WordPress, lo que permitiría a un actor malicioso con acceso privilegiado a la aplicación almacenar scripts maliciosos en el sitio afectado.
Recomendación:
- Actualizar a la versión 1.1.0 o la versión más reciente el Plugin Importer del tema Xylus para WordPress.
- Actualizar el Plugin Forminator de acuerdo a la información brindada por el fabricante del software (WPMU DEV).
Referencias:
- https://www.opencve.io/cve/CVE-2024-32597
- https://patchstack.com/database/vulnerability/wp-smart-import/wordpress-wp-smart-import-plugin-1-0-7-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://wordpress.org/plugins/forminator/