Hackers comprometen sitios WordPress con el plugin Total Donations

Los expertos en seguridad de las firmas de seguridad de Wordfence descubrieron sitios de WordPress comprometidos a través de vulnerabilidades de día cero en el plugin Total Donations

Los desarrolladores abandonaron el complemento de WordPress de Total Donations por esta razón, los expertos en seguridad recomiendan eliminarlo después de descubrir múltiples fallas de día cero que fueron explotadas por los actores de amenazas.

La noticia fue informada por la firma de seguridad Wordfense de que los actores de amenazas observadas están explotando el día cero emitido en el complemento de WordPress de Total Donations para obtener acceso administrativo a los sitios web que ejecutan el popular CMS.

Los expertos intentaron ponerse en contacto con el equipo de desarrollo que se encuentra detrás del complemento, pero no recibieron ninguna respuesta.

"El equipo de Wordfence Threat Intelligence identificó varias vulnerabilidades críticas en el complemento comercial Total Donations para WordPress. Estas vulnerabilidades, presentes en todas las versiones conocidas del complemento hasta la versión 2.0.5, están siendo explotadas por actores maliciosos para obtener acceso administrativo a los sitios de WordPress afectados ". Lee el aviso de seguridad publicado por Wordfence.

"Es nuestra recomendación que los propietarios de sitios que usan Donaciones Totales eliminen, no solo desactiven, el complemento vulnerable lo antes posible para asegurar sus sitios".

Los defectos de día cero afectan a todas las versiones conocidas del complemento de WordPress hasta la versión 2.0.5.

El complemento WordPress de Total Donations es actualmente utilizado por muchas organizaciones sin fines de lucro y políticas para recibir donaciones.

Los expertos rastrearon las fallas como CVE-2019-6703, descubrieron que Total Donations registra un total de 88 acciones únicas de AJAX en WordPress, a las que se puede acceder mediante no autenticado usuarios mediante la consulta de la típica /wp-admin / adminajax.php punto final

“Hemos determinado que 49 de estas 88 acciones pueden ser explotadas por un actor malintencionado para acceder a datos confidenciales, realizar cambios no autorizados en el contenido y la configuración de un sitio, o controlar un sitio vulnerable por completo. ”Continúa el análisis.

Las fallas podrían ser explotadas por un atacante no autenticado para enviar solicitudes al evento AJAX para llamar a una acción específica para actualizar valores de opción de WordPress arbitrarios y hacerse cargo del sitio web. Esto se puede usar para habilitar el registro de nuevos usuarios y establecer el rol predeterminado para los nuevos usuarios como Administrador.

Los atacantes pueden realizar muchas otras acciones maliciosas, incluido el acceso a las listas de correo de Constant Contact y Chimpancé, que también puede modificar o eliminar los planes de pago recurrentes de Stripe porque

Total Donations puede conectarse a Stripe como un procesador de pagos.

Los atacantes pueden enviar correos electrónicos de prueba a una dirección arbitraria, una acción maliciosa que podría automatizarse para desencadenar una Denegación de Servicio (DoS) para el correo electrónico saliente, ya sea activando la retransmisión de correo saliente de un host limites o haciendo que el sitio de la víctima se incluya en las listas negras de spam.

El complemento actualmente no está disponible para su compra en CodeCanyon de Envato , de todos modos, muestra una página "Próximamente" desde mayo de 2018.

"Estas fallas de seguridad se consideran vulnerabilidades de día cero debido a su explotación activa y la falta de un parche disponible", explicaron los investigadores. "Desafortunadamente, el proceso de hacer este contacto reveló que una solución no siempre puedeestar viniendo.”

Semrush sigue a tu competencia

Fecha actualización el 2019-01-29. Fecha publicación el 2019-01-29. Categoría: wordpress Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
wordpress