Los desarrolladores de WooCommerce, un popular plugin de e-commerce para sitios web de WordPress, anunciaron el lanzamiento de una actualización para actualizar una vulnerabilidad crítica. El sistema de gestión de contenido (CMS) solicitó a los usuarios actualizar a la más reciente versión disponible, ya que la falla afecta a todas las versiones a partir de v5.5.0.
En su alerta de seguridad, los desarrolladores de WooCommerce mencionan que esta es una falla de alta severidad y que también afecta a WooCommerce Blocks, que permite a los administradores de sitios web mostrar sus productos en publicaciones y páginas. La falla aún no recibe una clave de identificación CVE, aunque se estima que podría recibir un puntaje de 8.2/10 acorde al Common Vulnerability Scoring System (CVSS).
Sobre esta actualización, el especialista de Patchstack Olievr Sild menciona que el parche elimina la falla con la modificación de dos archivos PHP que permiten la inyección de código malicioso en declaraciones SQL sin necesidad de autenticación. Esta inyección es posible gracias a una función de búsqueda de webhooks que inyectaba el parámetro de búsqueda en una consulta SQL sin usar una declaración preparada.
El experto agrega que, a pesar del uso de las funciones sanitize_text_field y esc_like, esta última podría usarse sin una declaración preparada, lo que ya no ocurre en la versión 5.5.1. En cuanto a la falta de autenticación, Sild dice que esta existe debido al escape inadecuado del parámetro $attributes en un endpoint de cara al público que no requería autenticación.
La mayoría de implementaciones afectadas recibirán el parche de forma automática a través de WordPress Plugin Team. Los administradores de WooCommerce están notificando a todos los usuarios del plugin sobre la vulnerabilidad con el fin de esparcir la voz sobre las actualizaciones.
En caso de explotación, los actores de amenazas podrían extraer toda clase de información confidencial almacenada en el sitio web objetivo, incluyendo detalles administrativos, niveles de ventas y configuración de la plataforma. Si bien el reporte de Patchstack no hace mención de intentos de explotación activa, lo más recomendable para los usuarios de WooCommerce es actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
