9.3 y 10: se descubrió una vulnerabilidad de 0 días en un complemento de diseño de producto popular

Eventos WordPress WooCommerce Fancy Product Designer Radykal Patchstack complemento vulnerabilidad
9.3 y 10: se descubrió una vulnerabilidad de 0 días en un complemento de diseño de producto popular
Eventos WordPress WooCommerce Fancy Product Designer Radykal Patchstack complemento vulnerabilidad

Todavía no hay solución. ¿Cómo proteger su sitio?

image

En el popular complemento para WordPress Fancy Product Designer de la empresa Radykal se han descubierto dos vulnerabilidades críticas que aún no han sido solucionadas en la última versión. Este complemento, vendido más de 20,000 veces, permite a los usuarios personalizar el diseño de productos (como ropa, tazas, fundas para teléfonos) en sitios de WooCommerce, modificando colores, texto o el tamaño de los elementos.

El 17 de marzo de 2024, los investigadores de Patchstack identificaron las siguientes vulnerabilidades críticas:

  • CVE-2024-51919 (CVSS: 9.0). Vulnerabilidad de carga arbitraria de archivos sin autenticación. Las funciones de carga de archivos, como «save_remote_file» y «fpd_admin_copy_file», no verifican adecuadamente los tipos de archivos. Esto permite a los atacantes cargar archivos maliciosos desde URL remotas, lo que podría llevar a la ejecución remota de código (RCE).
  • CVE-2024-51818 (CVSS: 9.3). Vulnerabilidad de inyección SQL sin autenticación. Una limpieza inadecuada de los datos proporcionados por los usuarios debido a la función insuficiente «strip_tags» permite inyectar consultas maliciosas en la base de datos. Esto podría resultar en la compromisión de la base de datos, robo, modificación o eliminación de datos.

A pesar de que Patchstack notificó a los desarrolladores sobre los problemas el 18 de marzo de 2024, la empresa Radykal no respondió. En enero de 2025, las vulnerabilidades fueron agregadas a la base de datos de Patchstack, y el 6 de enero, la empresa publicó un informe detallado advirtiendo a los usuarios sobre los riesgos.

A pesar del lanzamiento de múltiples actualizaciones, incluida la última versión 6.4.3 publicada hace dos meses, los problemas permanecen sin resolverse.

  • Patchstack recomienda a los administradores tomar las siguientes medidas para mejorar la seguridad:
  • Prohibir la carga arbitraria de archivos creando una lista de extensiones permitidas.
  • Proteger las bases de datos contra inyecciones SQL limpiando y formateando la entrada del usuario utilizando métodos seguros.

Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla

¡Únete a nosotros!

Noticias sobre el tema

CVE-2024-43405: ​​vulnerabilidad en Nuclei pone en riesgo la seguridad de miles de empresas

Alcohol y pastillas: cómo los CISO exhaustos afrontan el agotamiento

Personal al público: cómo una simple llamada de taxi se convierte en pérdida de datos

Los piratas informáticos se apoderan de los enrutadores ASUS a través de las vulnerabilidades de AiCloud

Colapso del salto: el día 366 del año inutilizó un grupo de satélites espaciales

Estos 15 preguntas evaluarán si estás listo para convertirte en un hacker ético

Pagar o arriesgar: Windows 10 deja a los usuarios con opciones difíciles

Volkswagen está en el centro de un escándalo: las coordenadas de cientos de miles de vehículos eléctricos están en manos de piratas informáticos

Expedición Texas - Luna: el módulo Blue Ghost abre un nuevo camino hacia el satélite