Una vulnerabilidad en un plugin de WordPress permitiría que un atacante ejecute código remoto en una web afectada, pudiendo tomar control del sitio.
El equipo de Wordfence ha descubierto esta semana la explotación activa de un fallo en Fancy Product Designer. Este plugin está orientado a comercios online y permite a los usuarios personalizar productos mediante imágenes y ficheros PDF. En el momento de redacción de esta noticia se estima que el plugin está instalado en más de 17.000 WordPress. La vulnerabilidad se ha catalogado con el identificador CVE-2021-24370 y cuenta con una puntuación CVSS de 9.8 sobre 10.
Fancy Product Designer cuenta con algunas comprobaciones de seguridad para prevenir la subida de ficheros maliciosos. No obstante; no son suficientes y se pueden evitar con facilidad. Como consecuencia, un atacante puede subir un fichero con código PHP ejecutable a cualquier sitio con el plugin instalado en una versión no parcheada.
Desde el equipo de Wordfence no han publicado los detalles del error para prevenir que sea explotado a gran escala. En su informe recopilan algunos indicadores de compromiso para ayudar a los administradores de sistemas a detectar si un WordPress ha sido atacado aprovechando la vulnerabilidad.
Este tipo de fallos pone de manifiesto la importancia de contar con controles que sean capaces de leer en la capa de aplicación (capa 7) pudiendo identificar y bloquear este tipo de peticiones fraudulentas. Además, en webs de comercio electrónico, donde se debe cumplir la normativa PCI-DSS, es vital cumplir requisitos en materia de seguridad de la información y gestión de vulnerabilidades. A continuación os dejamos un video, que publicamos recientemente, en el que explicamos el concepto de lo que es un ‘firewall’.
Video: https://www.youtube.com/watch?v=2R3mVZdElpc
Finalmente, desde Hispasec Sistemas recomendamos actualizar el plugin Fancy Product Designer a la versión 4.6.9 para mitigar el impacto de esta vulnerabilidad. Los usuarios de Wordfence en su versión gratuita tendrán disponible a finales de junio una regla para bloquear estos ataques, aunque es preferible actualizar manualmente el plugin.
Fuente: Hispasec
