La revelación de una laguna de seguridad crítica dentro del Complemento de WordPress ampliamente implementado, Miembro final, ha causado conmoción en la comunidad online. Seguimiento como CVE-2024-1071 y descubierto por el investigador de seguridad Christiaan Swiers, esta vulnerabilidad tiene una asombrosa puntuación CVSS de 9.8 de 10.
Descripción técnica de CVE-2024-1071
La vulnerabilidad radica en las versiones. 2.1.3 a 2.8.2 de Miembro Último y surge de una Fallo de inyección SQL asociado con la 'clasificación’ parámetro. Los atacantes pueden aprovechar esta debilidad para inyectar consultas SQL maliciosas., aprovechar mecanismos de escape insuficientes y una preparación de consultas inadecuada. Notablemente, esta vulnerabilidad afecta a los usuarios que han optado por la “Habilitar tabla personalizada para usermeta” opción dentro de la configuración del complemento.
No se deben subestimar las ramificaciones de CVE-2024-1071. Los actores de amenazas no autorizados podrían aprovechar la falla para infiltrarse en sitios web, manipular el contenido de la base de datos, y potencialmente extraer datos confidenciales. El riesgo inherente que plantean los ataques de inyección SQL no autenticados muestra la urgencia de adoptar medidas de mitigación inmediatas..
Versión 2.8.3 de Ultimate Member contiene el parche
En respuesta a la divulgación responsable, los desarrolladores del complemento lanzaron rápidamente un parche en la versión 2.8.3 de Ultimate Member en febrero 19. Es imperativo que los usuarios actualicen rápidamente sus complementos a la última versión para proteger sus sitios web de una posible explotación.. Wordfence, una empresa de seguridad de WordPress, ya ha interceptado un intento de ataque dentro 24 horas de la divulgación de la vulnerabilidad, destacando la amenaza inminente.
Sin embargo, esta vulnerabilidad no es un incidente aislado. Es parte de una tendencia más amplia de vulnerabilidades dirigidas a sitios de WordPress.. Los actores de amenazas han explotado previamente vulnerabilidades similares, tal como CVE-2023-3460, para orquestar actividades maliciosas, incluida la creación de usuarios administradores fraudulentos.
Otras campañas maliciosas contra sitios de WordPress
También ha surgido una nueva campaña que aprovecha los sitios de WordPress comprometidos para inyectar drenadores de criptomonedas.. La campaña aprovecha la dependencia del ecosistema Web3 de las interacciones directas con la billetera., planteando riesgos importantes tanto para los propietarios de sitios web como para los activos de los usuarios.
Esquemas sofisticados, como el escurridor como servicio (DaaS) esquema denominado CG (CriptoGrab) también están en aumento. Este esquema opera un programa de afiliados a gran escala., facilitando operaciones fraudulentas con una eficiencia alarmante.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: