Vulnerabilidad crítica de SQLi amenaza a 200K + sitios web

Se ha revelado una falla de seguridad crítica en un popular complemento de WordPress llamado Ultimate Member que tiene más de 200,000 instalaciones activas.

La vulnerabilidad, rastreada como CVE-2024-1071, tiene una puntuación CVSS de 9,8 sobre un máximo de 10. Al investigador de seguridad Christiaan Swiers se le atribuye el descubrimiento y la notificación de la falla.

En un aviso publicado la semana pasada, la compañía de seguridad de WordPress Wordfence dijo que el complemento es "vulnerable a la inyección SQL a través del parámetro 'ordenación' en las versiones 2.1.3 a 2.8.2 debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente".

Como resultado, los atacantes no autenticados podrían aprovechar la falla para agregar consultas SQL adicionales a consultas ya existentes y extraer datos confidenciales de la base de datos.

Vale la pena señalar que el problema solo afecta a los usuarios que han marcado la opción "Habilitar tabla personalizada para usermeta" en la configuración del complemento.

Tras la divulgación responsable el 30 de enero de 2024, los desarrolladores del plugin han puesto a disposición una solución para la falla con el lanzamiento de la versión 2.8.3 el 19 de febrero.

Se recomienda a los usuarios que actualicen el complemento a la última versión lo antes posible para mitigar las posibles amenazas, especialmente a la luz del hecho de que Wordfence ya ha bloqueado un ataque que intentaba explotar la falla en las últimas 24 horas.

En julio de 2023, los actores de amenazas aprovecharon activamente otra deficiencia en el mismo complemento (CVE-2023-3460, puntuación CVSS: 9.8 ) para crear usuarios administradores deshonestos y tomar el control de sitios vulnerables.


El desarrollo se produce en medio de un aumento en una nueva campaña que aprovecha los sitios de WordPress comprometidos para inyectar directamente drenadores de criptomonedas como Angel Drainer o redirigir a los visitantes del sitio a sitios de phishing Web3 que contienen drenadores.

"Estos ataques aprovechan las tácticas de phishing y las inyecciones maliciosas para explotar la dependencia del ecosistema Web3 de las interacciones directas de la billetera, lo que presenta un riesgo significativo tanto para los propietarios de sitios web como para la seguridad de los activos de los usuarios", dijo el investigador de Sucuri, Denis Sinegubko.

También sigue el descubrimiento de un nuevo esquema de drenaje como servicio (DaaS) llamado CG (abreviatura de CryptoGrab) que ejecuta un programa de afiliados de 10,000 miembros compuesto por hablantes de ruso, inglés y chino.

Uno de los canales de Telegram controlados por los actores de amenazas "remite a los atacantes a un bot de Telegram que les permite ejecutar sus operaciones de fraude sin dependencias de terceros", dijo Cyfirma en un informe a fines del mes pasado.

"El bot permite a un usuario obtener un dominio de forma gratuita, clonar una plantilla existente para el nuevo dominio, establecer la dirección de la billetera a la que se supone que se deben enviar los fondos estafados y también proporciona protección de Cloudflare para ese nuevo dominio".

También se ha observado que el grupo de amenazas utiliza dos bots de telegramas personalizados llamados SiteCloner y CloudflarePage para clonar un sitio web legítimo existente y agregarle protección de Cloudflare, respectivamente. Estas páginas se distribuyen principalmente utilizando cuentas X (anteriormente Twitter) comprometidas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta