Vulnerabilidad de día cero afecta a más de 17.000 sitios WordPress

Una vulnerabilidad en un plugin de WordPress permitiría que un atacante ejecute código remoto en una web afectada, pudiendo tomar control del sitio.

El equipo de Wordfence ha descubierto esta semana la explotación activa de un fallo en Fancy Product Designer. Este plugin está orientado a comercios online y permite a los usuarios personalizar productos mediante imágenes y ficheros PDF. En el momento de redacción de esta noticia se estima que el plugin está instalado en más de 17.000 WordPress. La vulnerabilidad se ha catalogado con el identificador CVE-2021-24370 y cuenta con una puntuación CVSS de 9.8 sobre 10.

Fancy Product Designer cuenta con algunas comprobaciones de seguridad para prevenir la subida de ficheros maliciosos. No obstante; no son suficientes y se pueden evitar con facilidad. Como consecuencia, un atacante puede subir un fichero con código PHP ejecutable a cualquier sitio con el plugin instalado en una versión no parcheada.

Desde el equipo de Wordfence no han publicado los detalles del error para prevenir que sea explotado a gran escala. En su informe recopilan algunos indicadores de compromiso para ayudar a los administradores de sistemas a detectar si un WordPress ha sido atacado aprovechando la vulnerabilidad.

Este tipo de fallos pone de manifiesto la importancia de contar con controles que sean capaces de leer en la capa de aplicación (capa 7) pudiendo identificar y bloquear este tipo de peticiones fraudulentas. Además, en webs de comercio electrónico, donde se debe cumplir la normativa PCI-DSS, es vital cumplir requisitos en materia de seguridad de la información y gestión de vulnerabilidades. A continuación os dejamos un video, que publicamos recientemente, en el que explicamos el concepto de lo que es un ‘firewall’.

Finalmente, desde Hispasec Sistemas recomendamos actualizar el plugin Fancy Product Designer a la versión 4.6.9 para mitigar el impacto de esta vulnerabilidad. Los usuarios de Wordfence en su versión gratuita tendrán disponible a finales de junio una regla para bloquear estos ataques, aunque es preferible actualizar manualmente el plugin.

Más información:
A critical zero-day vulnerability in the Fancy Product Designer WordPress plugin exposes more than 17,000 websites to attacks.
Critical 0-day in Fancy Product Designer Under Active Attack

La entrada Vulnerabilidad de día cero afecta a más de 17.000 sitios WordPress se publicó primero en Una al Día.

Compartir