Investigadores descubren explotación activa de vulnerabilidades en el plugin de WordPress

Varias vulnerabilidades críticas de seguridad en plugins de WordPress están siendo explotadas activamente por actores de amenazas para crear cuentas de administrador falsas. Los investigadores de Fastly Simran Khalsa, Xavier Stevens y Matthew Mathur, advirtieron que estas vulnerabilidades permiten ataques de scripting entre sitios (XSS) almacenados no autenticados debido a la insuficiente sanitización de entrada y escape de salida, lo que facilita la inyección de scripts maliciosos.

Los fallos de seguridad en cuestión son los siguientes –

CVE-2023-6961 (puntuación CVSS: 7.2) – Scripting entre sitios almacenado no autenticado en WP Meta SEO <= 4.5.12

CVE-2023-40000 (puntuación CVSS: 8.3) – Scripting entre sitios almacenado no autenticado en LiteSpeed Cache <= 5.7

CVE-2024-2194 (puntuación CVSS: 7.2) – Scripting entre sitios almacenado no autenticado en WP Statistics <= 14.5

Estas vulnerabilidades permiten a los atacantes inyectar un payload para crear una nueva cuenta de administrador, insertar una puerta trasera y configurar scripts de seguimiento mediante la inyección de un archivo JavaScript ofuscado alojado en un dominio externo.

Fastly ha detectado que muchos intentos de explotación provienen de direcciones IP asociadas con el Sistema Autónomo (AS) IP Volume Inc. (AS202425), muchos de ellos desde los Países Bajos. En el pasado, la empresa de seguridad de WordPress, WPScan, reveló intentos de ataque similares para el CVE-2023-40000 con el fin de crear cuentas de administrador falsas en sitios web vulnerables.

Para mitigar estos riesgos, se recomienda a los propietarios de sitios de WordPress revisar los plugins instalados, aplicar las últimas actualizaciones y realizar una auditoría de los sitios en busca de signos de malware o presencia de usuarios administradores sospechosos.

Vía The Hacker News