De nuevo un plugin de WordPress se ha convertido en una 'puerta de entrada' para los ciberdelincuentes.
GiveWP, un complemento de donaciones para el popular gestor de contenidos, contaría con una grave falla de seguridad. Se le ha asignado el código CVE-2024-5932 y se le ha dado una puntuación CVSS de 10.0.
Esta vulnerabilidad, que ha sido clasificada como una inyección de objetos PHP no autenticada que conduce a la ejecución remota de código (RCE), ha sido informada de manera responsable mediante el programa de recompensas por errores de Wordfence.
El agujero de seguridad permite a atacantes no autenticados inyectar objetos PHP maliciosos mediante el parámetro 'give_title', lo que puede provocar la ejecución remota de código y la eliminación arbitraria de archivos.
Según se ha contabilizado, GiveWP tiene más de 100.000 instalaciones activas. El problema atañe a sus versiones hasta la 3.14.1 inclusive.
Lanzaron la versión parcheada en agosto
El investigador de seguridad villu164 fue quien identificó la falla en mayo, obteniendo una recompensa de casi 5.000 dólares por su hallazgo.
Wordfence trató de avisar a los desarrolladores del plugin, StellarWP, pero este no respondió. Tras este silencio elevaron el problema al equipo de seguridad de Wordpress.org el pasado 6 de julio.
El 7 de agosto, finalmente, Stellar WP lanzó una versión parcheada que aborda la mencionada vulnerabilidad.
Los administradores de los sitios que tenían el complemento instalado deberían actualizar inmediatamente a la versión 3.14.2 del plugin y realizar una auditoría de seguridad, según se recomienda desde Cybersecurity News.