Vulnerabilidad crítica encontrada en el complemento de comercio electrónico de WordPress utilizado por más de 30,000 tiendas en línea

wordpress plugins

Se informó que el complemento de WordPress "Abandoned Cart Lite for WooCommerce", instalado en más de 30,000 sitios web, tiene una vulnerabilidad de seguridad crítica. Según un aviso de Wordfence de Defiant, la vulnerabilidad permite a los atacantes obtener acceso a las cuentas de los usuarios que han abandonado sus carritos. La gravedad de la vulnerabilidad, rastreada como CVE-2023-2986, ha sido calificada con 9,8 sobre 10 en el sistema de puntuación CVSS. Afecta a todas las versiones del complemento, incluidas las versiones 5.14.2 y anteriores.

El problema se deriva de una omisión de autenticación debido a protecciones de cifrado inadecuadas. Cuando se notifica a los clientes sobre sus carritos de compras abandonados en los sitios de comercio electrónico, la clave de cifrado utilizada está codificada en el complemento. Esto permite que los actores malintencionados inicien sesión como un usuario con un carrito abandonado. El investigador de seguridad István Márton mencionó que existe la posibilidad de explotar la vulnerabilidad de omisión de autenticación para obtener acceso a una cuenta de usuario administrativa o de nivel superior.

Vulnerabilidad parcheada a principios de junio

El desarrollador del complemento, Tyche Softwares, abordó la vulnerabilidad con la versión 5.15.0 el 6 de junio de 2023 y la versión actual es la 5.15.2. La divulgación de esta vulnerabilidad coincide con la revelación de Wordfence de otra falla de omisión de autenticación en el complemento "Calendario de reservas | Reserva de citas | BookIt" de StylemixThemes. Esta falla, rastreada como CVE-2023-2834 con un puntaje CVSS de 9.8, afecta a más de 10,000 instalaciones de WordPress. Surge de una verificación insuficiente durante el proceso de reserva de citas, lo que permite a los atacantes no autenticados iniciar sesión como cualquier usuario existente si tienen acceso al correo electrónico del usuario. El problema se resolvió en la versión 2.3.8, lanzada el 13 de junio de 2023, mientras que las versiones 2.3.7 y anteriores se ven afectadas.

¿Por qué los complementos de WordPress son atacados con frecuencia por piratas informáticos?

Los complementos de WordPress a menudo son el objetivo de los piratas informáticos debido a varias razones:

Popularidad y amplio uso: WordPress es uno de los sistemas de administración de contenido (CMS) más populares en todo el mundo y alimenta una parte significativa de los sitios web en Internet. El uso extensivo de WordPress lo convierte en un objetivo atractivo para los piratas informáticos. Dado que los complementos mejoran la funcionalidad de los sitios web de WordPress, los propietarios de sitios web los adoptan ampliamente. Los atacantes saben que apuntar a complementos populares puede potencialmente comprometer una gran cantidad de sitios web.

Vulnerabilidades y problemas de seguridad: como cualquier software, los complementos de WordPress pueden tener vulnerabilidades y debilidades de seguridad. Los piratas informáticos pueden explotar estas vulnerabilidades para obtener acceso no autorizado, inyectar código malicioso o realizar otras actividades maliciosas. Los complementos pueden tener errores de codificación, comprobaciones de validación insuficientes o medidas de seguridad inadecuadas que los hacen susceptibles a ataques.

Falta de actualizaciones y mantenimiento: algunos propietarios de sitios web pueden olvidarse de mantener actualizados sus complementos de WordPress o no mantenerlos correctamente. Los complementos obsoletos pueden tener vulnerabilidades conocidas que los piratas informáticos pueden explotar. Además, es posible que los complementos que los desarrolladores ya no mantienen o admiten no reciban parches de seguridad oportunos, lo que los hace vulnerables a los ataques.

Desarrolladores de complementos de terceros: los complementos de WordPress a menudo son desarrollados por desarrolladores externos que pueden tener diferentes niveles de experiencia en seguridad. Si bien muchos desarrolladores priorizan la seguridad, es posible que otros no tengan el conocimiento o los recursos necesarios para implementar medidas de seguridad sólidas. Los piratas informáticos apuntan a complementos desarrollados por desarrolladores menos conscientes de la seguridad para explotar las debilidades en su código.

Entrada de puerta trasera: los complementos pueden servir como un punto de entrada de puerta trasera para que los atacantes obtengan acceso a un sitio web de WordPress. Al comprometer un complemento, los piratas informáticos pueden eludir las medidas de seguridad y obtener el control de todo el sitio web. Una vez dentro, pueden manipular el contenido, robar información confidencial o realizar otras actividades maliciosas.

Para mitigar el riesgo asociado con los complementos de WordPress, es crucial que los propietarios de sitios web sigan las mejores prácticas, como:

  • Actualice regularmente los complementos a las últimas versiones que incluyen parches de seguridad.
  • Elija complementos de fuentes y desarrolladores acreditados con un historial de proporcionar actualizaciones y soporte regulares.
  • Elimine o desactive los complementos no utilizados para minimizar la superficie de ataque.
  • Emplee un complemento de seguridad confiable que pueda detectar y proteger contra amenazas potenciales.
  • Supervise periódicamente la seguridad del sitio web e implemente medidas de seguridad adicionales, como contraseñas seguras y autenticación de dos factores.

Al tomar estas precauciones, los propietarios de sitios web pueden reducir la probabilidad de ser víctimas de ataques dirigidos a complementos de WordPress.

En Zaib
June 23, 2023
Computer Security
Spanish
June 23, 2023
Computer Security

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.