Vulnerabilidad Crítica Descubierta en Ultimate Member para WordPress

Una noticia reciente ha sacudido el mundo de WordPress: se ha descubierto una vulnerabilidad crítica en el popular complemento Ultimate Member, poniendo en riesgo la seguridad de más de 200 mil sitios web que confían en esta extensión. Esta vulnerabilidad, identificada como CVE-2024-1071, ha sido clasificada con una puntuación CVSS de 9.8, lo que indica un nivel extremadamente alto de gravedad.

El mérito del descubrimiento recae en el investigador de seguridad Christian Swiers. Especialistas de Wordfence, una empresa especializada en seguridad de WordPress, han publicado un informe detallado que revela la naturaleza de esta amenaza.

Resulta que la vulnerabilidad está relacionada con la posibilidad de inyecciones SQL a través del parámetro de clasificación en las versiones del complemento desde 2.1.3 hasta 2.8.2. Una filtración insuficiente de los parámetros de entrada y errores en la preparación de las consultas SQL abren la puerta a usuarios no autenticados para insertar consultas SQL arbitrarias y extraer información confidencial de la base de datos.

Usuarios que han habilitado la opción “Habilitar tabla personalizada para usermeta” en la configuración del complemento están particularmente en riesgo.

Después de revelar de manera responsable la información sobre este problema el 30 de enero de 2024, los desarrolladores se pusieron rápidamente manos a la obra para encontrar una solución. Finalmente, el 19 de febrero, lanzaron una actualización que eliminó la vulnerabilidad. Se insta encarecidamente a todos los usuarios a actualizar el complemento a la última versión de manera inmediata para protegerse contra posibles amenazas.

Es importante señalar que, antes de la publicación del informe y la divulgación pública de la vulnerabilidad, los expertos de Wordfence ya habían detectado intentos de explotar esta falla, lo que califica a CVE-2024-1071 como una vulnerabilidad de día cero. Esto hace que la actualización sea aún más crítica.

Es preocupante recordar que en julio de 2023, los atacantes ya habían aprovechado una vulnerabilidad similar en el mismo complemento para crear cuentas administrativas falsas y tomar el control de sitios web.

Además, en el panorama actual, hemos observado un aumento en las campañas que utilizan sitios de WordPress comprometidos para inyectar ransomware de criptomonedas y redirigir a los visitantes a sitios de phishing que atacan el ecosistema Web3. El descubrimiento de un nuevo esquema Drainer-as-a-Service (DaaS) dirigido al fraude con criptomonedas subraya aún más la gravedad de las amenazas en el espacio digital actual.

Para proteger sus recursos web de posibles ataques, es de vital importancia monitorear constantemente las novedades en el campo de la ciberseguridad e instalar rápidamente actualizaciones para los productos de software que utiliza. La precaución y la prontitud en la aplicación de parches pueden marcar la diferencia entre la seguridad y la vulnerabilidad en el mundo en línea.

#WordPressSecurity? #UltimateMemberVulnerability? #CVE20241071?️ #WordfenceReport? #SQLInjectionRisk?️ #CybersecurityAlert? #ZeroDayThreat? #WebSecurityUpdates? #DigitalThreats? #StayProtected?