Los complementos populares de WordPress se han convertido una vez más en una fuente de amenaza global.
Se han detectado vulnerabilidades críticas en los populares plugins WPLMS y VibeBP para WordPress. Estos plugins son componentes clave del tema premium WPLMS LMS, que se utiliza para crear cursos en línea y gestionar contenido educativo. Las ventas del tema superan las 28,000 copias, lo que subraya la magnitud del riesgo.
Las vulnerabilidades representan amenazas graves, como la carga no autorizada de archivos, la escalada de privilegios y ataques de inyección SQL. Entre ellas destaca la vulnerabilidad CVE-2024-56046, que permite a los atacantes cargar archivos maliciosos y ejecutar código remoto.
Mientras tanto, la vulnerabilidad de escalada de privilegios ( CVE-2024-56043 ) permitía a usuarios con pocos privilegios convertirse en administradores, lo que podría conducir a la toma total del sitio. Las inyecciones SQL, incluida la CVE-2024-56042, exponían información confidencial de la base de datos mediante consultas especialmente diseñadas.
En general, los investigadores de PatchStack detectaron 18 vulnerabilidades en los mencionados plugins, de las cuales varias fueron calificadas como críticas. Los problemas afectaban a la funcionalidad de los formularios de registro y la API REST.
Los desarrolladores de los plugins afectados ya han lanzado actualizaciones que corrigen todos los errores. La versión segura actual de WPLMS es la 1.9.9.5.3, y de VibeBP es la 1.9.9.7.7. Los desarrolladores han reforzado las verificaciones de seguridad, introducido restricciones en la carga de archivos y corregido las vulnerabilidades de escalada de privilegios y de inyección SQL. Para protegerse de las inyecciones SQL, también se ha añadido el escape de entrada del usuario y el uso de consultas preparadas.
Se recomienda encarecidamente a los usuarios actualizar los plugins de inmediato para proteger sus sitios.
Mientras tanto, los expertos de PatchStack recomiendan a los desarrolladores seguir las siguientes medidas de seguridad para prevenir vulnerabilidades similares: