- Los investigadores de Patchstack encuentran dos nuevos defectos en Fancy Product Designer
- El complemento de WordPress creado por Radykal tiene más de 20.000 usuarios activos
- Las fallas permitieron la ejecución remota de código, cargas de archivos arbitrarios y más
Se ha descubierto que un popular complemento de WordPress tiene dos vulnerabilidades críticas que permiten a los actores de amenazas cargar archivos, manipular bases de datos y, esencialmente, apoderarse de sitios web comprometidos.
Para empeorar las cosas, las vulnerabilidades permanecieron en el código durante más de seis meses, a pesar de que los desarrolladores fueron notificados y, mientras tanto, estaban trabajando activamente en nuevas versiones.
Los investigadores de ciberseguridad de Patchstack afirman que a finales de marzo de 2024 descubrieron dos vulnerabilidades en Fancy Product Designer, un complemento de creación de sitios web premium desarrollado por Radykal que permite a los usuarios crear y personalizar productos, como camisetas, tazas o carteles. con una variedad de herramientas de diseño y opciones para tiendas de comercio electrónico. Tiene más de 20.000 ventas.
Silencio de los vendedores
La vulnerabilidad se rastrea como CVE-2024-51919 (puntaje de gravedad 9.0) y CVE-2024-51818. La primera es una vulnerabilidad de carga de archivos arbitrarios no autenticados, mientras que la segunda es una falla de inyección SQL no autenticada. Dado que el primero permite la ejecución remota de código (RCE), puede llevar a la toma completa del sitio en ciertos escenarios.
Patchstack afirma que notificó al proveedor sobre los problemas a finales de marzo, pero nunca tuvo noticias de la empresa. Mientras tanto, Radykal ha estado trabajando en nuevas versiones del complemento, lanzando 20 de ellas. El último se lanzó hace dos meses (6.4.3) y todavía presenta fallas de seguridad críticas.
Para advertir a los usuarios sobre los riesgos y llamar la atención sobre el problema, Patchstack agregó los errores a su base de datos y publicó un blog detallado, con información técnica suficiente para crear exploits y apuntar a sitios web utilizando Fancy Product Designer.
Para evitar esto, los webmasters deben crear una lista blanca de extensiones de archivos permitidas, evitando así que los actores de amenazas carguen lo que quieran. Patchstack agregó que los usuarios deben desinfectar la entrada del usuario para una consulta para defenderse también contra ataques de inyección SQL.
a través de pitidocomputadora
