Tres populares complementos de comercio electrónico para instalaciones de WordPress (WP), abiertos a ataques de inyección SQL desde diciembre de 2022, han sido parcheadoprotegiendo a las empresas de los actores de amenazas que modifican o eliminan sus sitios web.
Los tres complementos afectados, según lo descubierto por el investigador de seguridad de Tenable Joshua Martinelle (se abre en una pestaña nueva) (a través de BleepingEquipo (se abre en una pestaña nueva)), fueron ‘Membresías pagadas Pro (se abre en una pestaña nueva)‘, una herramienta de gestión de suscripciones activa en más de 100.000 instalaciones, ‘Descargas digitales fáciles (se abre en una pestaña nueva)‘, una herramienta de comercio electrónico activa en más de 50.000 instalaciones, y ‘Marcador de encuesta (se abre en una pestaña nueva)‘ (una herramienta de investigación de mercado con más de 3.000 instalaciones activas)
Las inyecciones de SQL son fallas de seguridad que permiten a los atacantes ingresar datos en formularios de sitios web o URL para modificar bases de datos. Los atacantes pueden usar vulnerabilidades que permiten inyecciones SQL para inyectar scripts diseñados para modificar sitios web u obtener acceso no autorizado a sus backends.
Inyecciones de WordPress SQL
Si bien todos los sitios web pueden ser vulnerables a la inyección SQL durante el desarrollo, las instalaciones de WordPress, alojadas en una plataforma popular centralizada equipada con muchos complementos comunes, son un objetivo popular para los actores de amenazas que buscan vulnerabilidades.
Solo en enero de 2023, TechRadar Pro posee reportado en la oferta de otros complementos de WP chat en vivo la funcionalidad se aprovechó, en el transcurso de tres años, para ejecutar código JavaScript que redirige a los usuarios a sitios web maliciosos, así como otro exploit similar apuntando a un complemento que agrega funcionalidad de tarjeta de regalo a tiendas en línea.
Afortunadamente, después de la divulgación de las fallas y el lanzamiento de exploits de prueba de concepto (PoC) por parte de Martinelle a WordPress el 19 de diciembre de 2022, los desarrolladores de los complementos se movieron rápidamente para abordar las fallas, y las correcciones se publicaron en cuestión de semanas. , o incluso días.
El 21 de diciembre se lanzó una solución para ‘Survey Maker’, como parte de la versión 3.1.2 del complemento. ‘Paid Memberships Pro’ siguió el 27, con una corrección incorporada a la versión 2.9.8, y ‘Easy Digital Downloads’ siguió el 5 de enero de 2023 como parte de la versión 3.1.0.4.
Si aún no lo han hecho, se recomienda a los usuarios afectados que actualicen estos complementos a las últimas versiones para protegerse de los ataques de inyección SQL en el futuro previsible.