Tres populares complementos de comercio electrónico para instalaciones de WordPress (WP) que están abiertos a ataques de inyección SQL desde diciembre de 2022 han sido pirateados repararprotegiendo a las empresas de los actores de amenazas que modifican o eliminan sus sitios web.
Los tres complementos afectados, Descubierto por el investigador de seguridad de Tenable Joshua Martinelle (se abre en una nueva pestaña) (pasar pitido computadora (se abre en una nueva pestaña)), si ‘Membresía paga Pro (se abre en una nueva pestaña)‘, una herramienta de gestión de suscripciones con más de 100.000 instalaciones,’Descargas digitales fáciles (se abre en una nueva pestaña)‘, una herramienta de comercio electrónico activa con más de 50 000 instalaciones, y ‘marca de medida (se abre en una nueva pestaña)‘ (herramienta de investigación de mercado con más de 3000 instalaciones activas)
La inyección de SQL es un agujero de seguridad que permite a un atacante ingresar datos en un formulario de sitio web o URL para modificar una base de datos. Un atacante podría usar una vulnerabilidad que permite la inyección SQL para inyectar secuencias de comandos diseñadas para modificar un sitio web u obtener acceso no autorizado a su backend.
Inyección SQL de WordPress
Si bien todos los sitios web son vulnerables a los ataques de inyección SQL durante el desarrollo, las instalaciones de WordPress alojadas en plataformas centralizadas populares con muchos complementos populares son un objetivo popular para los actores de amenazas que buscan explotar la vulnerabilidad.
Solo en enero de 2023, Radar tecnológico profesional tener Informe En otros productos de complementos de WP chat en vivo Durante un período de tres años, explotar la funcionalidad para ejecutar código JavaScript que redirige a los usuarios a sitios web maliciosos, y Otro exploit similar Agregar funcionalidad de tarjeta de regalo para complementos Tienda en línea.
Afortunadamente, después de que Martinelle revelara la vulnerabilidad y lanzara un exploit de prueba de concepto (PoC) para WordPress el 19 de diciembre de 2022, los desarrolladores del complemento actuaron rápidamente para abordar la vulnerabilidad y lanzaron una solución en semanas o incluso horas.
El 21 de diciembre se lanzó una solución para “Survey Maker” como parte de la versión 3.1.2 del complemento. “Paid Membership Pro” siguió el 27 con correcciones en la versión 2.9.8, y “Easy Digital Downloads” siguió el 5 de enero de 2023 como parte de la versión 3.1.0.4.
Si aún no lo han hecho, se recomienda a los usuarios afectados que actualicen estos complementos a las últimas versiones para protegerse contra los ataques de inyección SQL en el futuro previsible.
