Decenas de miles de sitios web de WordPress son vulnerables a múltiples fallas de alta gravedad que se encuentran en un complemento popular, afirman los investigadores de seguridad.
Los expertos de PatchStack descubrieron tres vulnerabilidades en LearnPress, un complemento del sistema de gestión de aprendizaje que permite a las personas que casi no tienen conocimientos de codificación vender cursos y lecciones en línea a través de sus sitios web de WordPress.
El parche para las fallas en el creador de sitios web ha estado disponible durante más de un mes, pero los investigadores advierten que solo una minoría (significativa) lo ha aplicado hasta ahora.
Hay una solución disponible
Las tres vulnerabilidades en cuestión son CVE-2022-47615, una vulnerabilidad que permite a los actores de amenazas ver credenciales, tokens de autenticación, claves API y similares; CVE-2022-45808, una vulnerabilidad de inyección SQL no autenticada que permite la ejecución de código arbitrario, y CVE-2022-45820, una falla de inyección SQL autenticada que también puede conducir a la filtración de datos y la ejecución de código arbitrario.
PatchStack descubrió las fallas entre el 30 de noviembre y el 2 de diciembre de 2022 y las informó a LearnPress poco después. La compañía regresó con una solución el 20 de diciembre, llevando LearnPress a la versión 4.2.0. Sin embargo, hasta ahora solo el 25% de los sitios web actualizaron el complemento, BleepingEquipo informó citando datos estadísticos de WordPress.org.
Dado que aproximadamente 100 000 sitios web actualmente usan activamente el complemento, eso elevaría el número total de sitios web aún vulnerables a aproximadamente 75 000. Como se trata de fallas de alta gravedad con graves consecuencias, se insta a los administradores web a aplicar el parche de inmediato o deshabilitar el complemento hasta que lo hagan.
WordPress es la plataforma de creación de sitios web más popular del mundo y, como tal, es un objetivo atractivo para los ciberdelincuentes. Si bien WordPress en sí es relativamente seguro (menos del 1% de todas las fallas relacionadas con WP se encuentran en la plataforma), sus complementos (y los complementos gratuitos, para ser más exactos) suelen ser el eslabón más débil. Si bien aportan innumerables funcionalidades adicionales a la plataforma, es fundamental que los webmasters elijan las correctas y se aseguren de que estén siempre actualizadas.
Vía: BleepingComputer (se abre en una pestaña nueva)