Los investigadores observaron recientemente una vulnerabilidad conocida, y aparentemente solucionada, que estaba siendo abusada en la naturaleza para robar credenciales de inicio de sesión para WordPress sitios web.
Investigadores de ciberseguridad de Vulnerabilidades del complementouna organización que monitorea fallas en los complementos de WordPress, informó que un pirata informático intentaba explotar una vulnerabilidad de visualización de archivos arbitraria en el complemento WP Compress.
WP Compress es un complemento que promete solucionar tiempos de carga lentos comprimiendo las imágenes que se encuentran en el sitio web. Al mejorar los tiempos de carga, los desarrolladores dicen que los sitios tendrán un mejor desempeño en la clasificación de los motores de búsqueda. Esto también puede impedir que los visitantes abandonen la página.
Sin registro CVE
Al aprovechar la vulnerabilidad, el hacker intentaba ver el contenido de los archivos de configuración de WordPress que, entre otras cosas, también contienen las credenciales de la base de datos del sitio web.
Una investigación más profunda reveló que la vulnerabilidad está siendo rastreada como CVE-2023-6699, pero el registro está vacío. En el sitio web del Instituto Nacional de Estándares y Tecnología, dice «aunque un CVE ID puede haber sido asignado por CVE o un CNA, no estará disponible en el NVD si tiene un estado RESERVADO por CVE».
El sitio CVE, por otro lado, dice: “Este candidato ha sido reservado por una organización o individuo que lo utilizará cuando anuncie un nuevo problema de seguridad. Cuando el candidato haya sido publicado, se proporcionarán los detalles de este candidato”.
Plugin Vulnerabilities explica además que esto es problemático porque muchos equipos de TI dependen de la información de CVE para realizar un seguimiento de las vulnerabilidades. Sin información proporcionada, muchos sitios web desconocen la vulnerabilidad potencial que conllevan.
Sin embargo, la falla aparentemente se solucionó el 13 de diciembre de 2023. Quienes utilicen el complemento deben asegurarse de actualizarlo a la versión 6.10.34.
«La falta de que los registros CVE se completen de manera oportuna es un problema que CVE conoce desde hace algún tiempo, pero que no ha abordado», han enfatizado los investigadores.