Se ha reportado sobre la inyección de código malicioso PHP en varios complementos(plugins) de WordPress, lo que permitiría a ciber criminales, crear cuentas de administrador y inyectar código JavaScript dañino en los sitios web afectados.
Productos o ítems afectados
- Social Warfare versiones 4.4.6.4 a 4.4.7.1
- Blaze Widget versiones 2.2.5 a 2.5.2
- Wrapper Link Element versiones 1.0.2 a 1.0.3
- Contact Form 7 Multi-Step Addon versiones 1.0.4 a 1.0.5
- Simply Show Hooks versión 1.2.1
Impacto de la vulnerabilidad
Estas vulnerabilidades podrían permitir a actores maliciosos obtener acceso no autorizado a los sitios web afectados, crear cuentas de administrador, inyectar código malicioso que puede usarse para fines de spam y otras actividades dañinas.
Recomendación
Si tienes alguno de estos plugins instalados, debes considerar que tu instalación está comprometida, desinstale el complemento afectado. Se recomienda verificar las cuentas de usuario de administrador de WordPress y eliminar cualquier cuenta no autorizada.
Enlaces de referencia
- https://plugins.trac.wordpress.org/browser/blaze-widget/trunk/blaze_widget.php
- https://plugins.trac.wordpress.org/browser/contact-form-7-multi-step-addon/trunk/trx-contact-form-7-multi-step-addon.php
- https://plugins.trac.wordpress.org/browser/simply-show-hooks/trunk/index.php
- https://plugins.trac.wordpress.org/browser/social-warfare/tags/4.4.6.4/trunk/social-warfare.php#L54
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3106042%40social-warfare&new=3106042%40social-warfare&sfp_email=&sfph_mail=
- https://wordpress.org/support/topic/a-security-message-from-the-plugin-review-team/
- https://plugins.trac.wordpress.org/changeset/3105893/