Los investigadores han descubierto dos vulnerabilidades de alta gravedad en un popular WordPress (se abre en una pestaña nueva) tema y complemento que podría permitir que los actores de amenazas se apoderen por completo de los sitios web afectados.
Los expertos en seguridad cibernética de Patchstack descubrieron dos fallas en un complemento premium que se usa principalmente para sitios web de bienes raíces. El tema de $ 69 se llama Houzez y, según se informa, tiene más de 35,000 clientes.
Las dos vulnerabilidades ahora se rastrean como CVE-2023-26540 y CVE-2023-26009. Ambos tienen una calificación de 9,8: crítico, y ambos permiten la elevación de privilegios desde una ubicación remota, sin necesidad de autenticación.
Usado en la naturaleza
Para empeorar las cosas, ambos se están utilizando activamente en la naturaleza.
“La vulnerabilidad en el tema y el complemento se explota actualmente y ha visto una gran cantidad de ataques desde la dirección IP 103.167.93.138 al momento de escribir”, advirtió Patchstack.
Los defectos tampoco son nuevos. Hace aproximadamente medio año, después de que los investigadores se comunicaran por primera vez con el proveedor del tema, ThemeForest, se lanzó un parche para una de las fallas, lo que llevó el tema a la versión 2.6.4. En noviembre del año pasado, el proveedor también corrigió la segunda falla, lo que llevó a Houzez a la versión 2.7.2.
Como de costumbre, se recomienda a los usuarios que apliquen el parche de inmediato y eviten el riesgo de ser atacados por ciberdelincuentes.
WordPress es la plataforma de alojamiento de sitios web más popular del mundo y, como tal, es un objetivo popular para los piratas informáticos. Pero la plataforma generalmente se percibe como segura: son los innumerables temas y complementos que los piratas informáticos a menudo logran explotar.
Los temas y complementos, que se pueden adquirir directamente a través de WordPress o a través del sitio web del proveedor, ofrecen básicamente infinitas opciones de personalización. Se dividen en categorías gratuitas y comerciales, y aunque las opciones de pago suelen actualizarse y mantenerse con frecuencia, las versiones gratuitas a veces se abandonan. Dicho esto, no obtienen los parches necesarios a tiempo y brindan a los piratas informáticos amplias oportunidades para comprometer el sitio web, robar sus datos, redirigir a los visitantes a otros lugares y realizar todo tipo de actividades maliciosas.
Vía: BleepingComputer (se abre en una pestaña nueva)