Cientos de miles de sitios web de WordPress son vulnerables a una falla de gravedad crítica que permite a los actores de amenazas cargar malware en el sitio a través de un error en un complemento.
Según lo informado por pitidocomputadora, el CERT de Japón encontró recientemente una falla de gravedad crítica (9.8) en el complemento Forminator, creado por WPMU DEV. La falla, ahora rastreada como CVE-2024-28890, permite a los actores de amenazas obtener información confidencial accediendo a archivos en el servidor.
Los investigadores también dijeron que la falla podría usarse para cambiar el contenido del sitio, montar ataques de denegación de servicio (DoS) y más.
No hay evidencia de abuso
Forminator es un complemento que permite a los operadores de WordPress agregar contactos personalizados, comentarios, cuestionarios, encuestas, sondeos y formularios de pago. Todo se puede arrastrar y soltar y, por lo tanto, es fácil de usar y funciona bien con muchos otros complementos.
WPMU DEV solucionó el problema y lanzó un parche. Se recomienda a los usuarios que lo apliquen y lleven su complemento Forminator a la versión 1.29.3 lo antes posible. Al cierre de esta edición, el sitio web WordPress.org muestra al menos 500.000 descargas activas, de las cuales el 56% ejecuta la última versión. Eso deja al menos 230.000 sitios web que posiblemente todavía sean vulnerables.
Hasta el momento, no hay evidencia de que CVE-2024-28890 haya sido explotado en la naturaleza, pero dado su potencial destructivo y la simplicidad con la que se puede abusar, lo más probable es que el abuso sea solo cuestión de tiempo.
Si bien WordPress en sí generalmente se considera una plataforma segura, sus diversos complementos y complementos presentan una oportunidad única para los piratas informáticos que buscan una manera de ingresar. Como regla general, se recomienda a los administradores de WordPress que conserven la plataforma, los complementos, los temas, y complementos actualizados en todo momento, y desactivar todos los complementos que no utilice activamente.
WordPress es el número uno del mundo Creador de sitios web plataforma, y casi la mitad de todos los sitios web en Internet funcionan con el creador.