Se han reportado múltiples vulnerabilidades en plugins de WordPress, de severidades altas (2), media (1) y bajas (5).
Las vulnerabilidades fueron identificadas como:
Severidad alta:
- CVE-2024-1981 (CVSS 9.8) WPvivid Backup and Migration: podría permitir a un actor malicioso agregar consultas SQL adicionales, a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
- CVE-2024-1468 (CVSS 8.8) Avada Website Builder For WordPress & WooCommerce: podría permitir a un actor malicioso cargar archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota.
Severidad Media:
- CVE-2024-1982 (CVSS 6.5) Avada Website Builder For WordPress & WooCommerce: podría permitir a un actor malicioso aprovechar una vulnerabilidad para realizar inyección SQL.
Severidad Baja:
- CVE-2024-1341 (CVSS 4.9) Advanced iFrame y CVE-2024-0689 (CVSS 4.4) Custom Field Suite: estas vulnerabilidades podrían permitir a un actor malicioso inyectar scripts web en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
- CVE-2024-1978 (CVSS 5.5) Friends: podría permitir a un actor malicioso realizar solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para consultas y modificar información de servicios internos.
- CVE-2024-1976 (CVSS 4.3) Marketing Optimizer: podría permitir a un actor malicioso realizar una inyección JavaScript a través de una solicitud falsificada a través de una acción como hacer click en un enlace.
- CVE-2024-1977 (CVSS 4.4) Restaurant Solutions: podría permitir a un actor malicioso realizar una inyección Script Web en páginas que se ejecutarán cada vez que un usuario acceda a una página.
Productos afectados:
- WPvivid Backup and Migration – Versión 0.9.68.
- Avada Website Builder For WordPress & WooCommerce – Versiones hasta 7.11.4
- Versiones hasta 2.6.4.
- Avada Website Builder For WordPress & WooCommerce – Versiones hasta 0.9.68.
- Advanced iFrame – Versiones hasta 2024.1.
- Custom Field Suite – 2.6.4.
- Friends – Versiones hasta 2.8.5.
- Marketing Optimizer – Versiones hasta 20200925.
- Restaurant Solutions – Versión 1.0.0.
Recomendación:
- Se recomienda actualizar a las versiones más recientes desde la página oficial: https://wordpress.org/plugins/
Referencias:
- https://www.wordfence.com/threat-intel/vulnerabilities/?page=1#jump/
- https://www.cve.org/CVERecord?id=CVE-2024-1981
- https://www.cve.org/CVERecord?id=CVE-2024-1468
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/Avada/avada-website-builder-for-wordpress-woocommerce-7114-authenticated-contributor-arbitrary-file-upload/