Una investigación ha encontrado una vulnerabilidad en la carga de archivos en el plugin de WordPress WooCommerce Checkout Manager, el cual amplía la funcionalidad del plugin usado en el popular CMS (content management system).
El comunicado ha sido promulgado públicamente por lo compañía pluginvulnerabilities.com, la cual continúa realizando los alegatos sobre esta amenaza en los foros oficiales de WordPress. La falla no se encuentra parcheada y pone en un potencial riesgo a más de 60.000 sitios web en la red.
La vulnerabilidad en cuestión, como se mencionó anteriormente, consiste en un problema de "carga arbitraria de archivos" que puede ser explotada por atacantes remotos que no se encuentren autenticados, cuando los sitios vulnerables cuentan con la opción "Categorizar Archivos Subidos" (Categorize Uploaded Files) habilitada dentro de la configuración del complemento WooCommerce Checkout Manager; al ser explotada, podría permitir a los atacantes ejecutar script malicioso del lado del servidor en el contexto del proceso del servidor web y poner en peligro la aplicación vulnerada para acceder o modificar datos u obtener acceso administrativo.
La última versión del plugin (4.2.6) es vulnerable a esta falla, por lo que se recomienda deshabilitar la opción "Categorizar Archivos Subidos" o preferentemente, desactivar el plugin hasta que se libere una versión parcheada.
Esta no es la primera vez que pluginvulnerabilities.com revela de manera inapropiada una falla no parchada al público. La compañía ha estado continuamente descubriendo vulnerabilidades en varios complementos de WordPress.
Desde hace al menos dos años, el equipo ha estado publicando detalles de las vulnerabilidades recién descubiertas directamente en el foro de soporte de WordPress, en lugar de informar directamente a los respectivos autores de los complementos, violando las reglas del foro. En respuesta a este comportamiento inapropiado, los moderadores de WordPress.org finalmente incluyeron en la lista negra a la compañía de su foro oficial después de múltiples advertencias.
REFERENCIA
COMENTARIOS