Vulnerabilidad crítica en plugins WordPress

Publicada una deficiencia de seguridad en tres complementos para WordPress que podrían afectar a más de 84.000 sitios webs. 

Según la investigadora Chloe Chamberland, que informó de la vulnerabilidad de falsificación de solicitud entre sitios (CSIRF), ésta podría ser aprovechada para tomar el control total de los sitios webs afectados (CVE-2022-0215) con el CMS WordPress. Dicha vulnerabilidad se da lugar cuando el atacante engaña a un usuario autenticado enviando una solicitud web especialmente manipulada.

El origen de la vulnerabilidad está en la falta de validación al procesar solicitudes AJAX, permitiendo al atacante actualizar la opción “user_can_register”  y configurar la opción “default_role” a administrador. 

Los plugins afectados son desarrollados por la compañía Xootix, los cuales proporcionan mejoras a los sitios de comercio electrónico con WooCommerce para WordPress.

Se recomienda actualizar a las últimas versiones de cada uno de los tres complementos afectados:

–    Login/Signup Popup (Inline Form + Woocommerce) version 2.3 

–    Side Cart Woocommerce (Ajax) version 2.1

–    Waitlist Woocommerce (Back in stock notifier) version 2.5.2