Els usuaris de WordPress del Malware Scanner i els complements de Web Application Firewall de miniOrange se’ls demana que els suprimeixin dels seus llocs web després del descobriment d’una fallada de seguretat crítica.

La fallada, codificada com a CVE-2024-2172, té una puntuació de 9,8 sobre un màxim de 10 al sistema de puntuació CVSS i l’ha descoberta Stiofan. Afecta les següents versions dels dos connectors:

• Malware Scanner (versions <= 4.7.2)
• Web Application Firewall (versions <= 2.1.1)

Val la pena assenyalar que els connectors han estat tancats permanentment pels mantenidors a partir del 7 de març de 2024. Malware Scanner té més de 10.000 instal·lacions actives, mentre que Web Application Firewall en té 300.

«Aquesta vulnerabilitat fa possible que un atacant no autenticat s’atorgui privilegis administratius actualitzant la contrasenya de l’usuari», va informar Wordfence la setmana passada.

El problema és el resultat d’una comprovació de la capacitat que falta a la funció mo_wpns_init() que permet a un atacant no autenticat actualitzar arbitràriament la contrasenya de qualsevol usuari i augmentar els seus privilegis als d’un administrador, la qual cosa pot provocar un compromís total del lloc.

«Una vegada que un atacant ha obtingut l’accés d’usuari administratiu a un lloc de WordPress, pot manipular qualsevol cosa al lloc atacat com ho faria un administrador normal», va dir Wordfence.

«Això inclou la possibilitat de pujar fitxers de complements i temes, que poden ser fitxers zip maliciosos que contenen portes del darrere, i modificar publicacions i pàgines que es poden aprofitar per redirigir els usuaris del lloc a altres llocs maliciosos o injectar contingut brossa».

El desenvolupament arriba quan l’empresa de seguretat de WordPress va advertir d’una fallada similar d’escalada de privilegis d’alta gravetat al connector RegistrationMagic (CVE-2024-1991, puntuació CVSS: 8,8) que afecta totes les versions, la 5.3.0.0. inclosa i anteriors.

El problema, resolt l’11 de març de 2024, amb el llançament de la versió 5.3.1.0, permet a un atacant autenticat concedir-se privilegis administratius actualitzant la funció d’usuari. El connector té més de 10.000 instal·lacions actives.

«Aquesta vulnerabilitat permet als actors d’amenaça autenticats amb permisos de nivell de subscriptor o superiors elevar els seus privilegis als d’un administrador del lloc, cosa que podria provocar un compromís total del lloc», va dir István Márton.