CVE-2024-1071 Vulnerabilidad del complemento de WordPress
Se ha revelado una importante vulnerabilidad de seguridad en Ultimate Member, un complemento de WordPress ampliamente utilizado que cuenta con más de 200.000 instalaciones activas. Identificada como CVE-2024-1071, esta falla obtuvo una alta puntuación CVSS de 9,8 sobre 10 y fue descubierta y reportada por el investigador de seguridad Christiaan Swiers. Como se detalla en un aviso reciente de Wordfence, una empresa de seguridad de WordPress, el complemento (versiones 2.1.3 a 2.8.2) es susceptible a la inyección SQL a través del parámetro 'clasificación' debido a un escape inadecuado de los parámetros proporcionados por el usuario y una preparación insuficiente en la consulta SQL existente.
Esta laguna podría ser aprovechada por atacantes no autenticados para insertar consultas SQL adicionales en las consultas actuales, lo que llevaría a la extracción de datos confidenciales de la base de datos. Es fundamental tener en cuenta que este problema afecta a los usuarios que han seleccionado la opción "Habilitar tabla personalizada para usermeta" en la configuración del complemento.
Tras la divulgación responsable el 30 de enero de 2024, los desarrolladores del complemento abordaron rápidamente la vulnerabilidad lanzando la versión 2.8.3 el 19 de febrero. Se recomienda encarecidamente a los usuarios que actualicen sus complementos a la última versión lo antes posible para minimizar los riesgos potenciales, especialmente considerando que Wordfence ya ha frustrado un ataque que intentó explotar la falla en las últimas 24 horas.
Es de destacar que los actores de amenazas abusaron activamente de una vulnerabilidad similar (CVE-2023-3460, puntuación CVSS: 9,8) en el mismo complemento en julio de 2023. La explotación de esta falla les permitió crear usuarios administradores no autorizados y tomar el control de sitios vulnerables.
¿Qué es el sistema unificado de calificación CVE para vulnerabilidades?
El Sistema de puntuación de vulnerabilidad común (CVSS) es un sistema de puntuación estandarizado que se utiliza para evaluar y comunicar la gravedad de las vulnerabilidades en los sistemas de software. Proporciona un marco común para que organizaciones e individuos evalúen el impacto de las vulnerabilidades de seguridad. El CVSS está diseñado para ser independiente del proveedor y se adopta ampliamente en la comunidad de ciberseguridad.
El CVSS asigna una puntuación numérica a las vulnerabilidades en función de varios factores, incluida la explotabilidad de la vulnerabilidad, el impacto en la confidencialidad, integridad y disponibilidad del sistema afectado y si la vulnerabilidad requiere la interacción del usuario para su explotación. Las puntuaciones varían de 0 a 10, y las puntuaciones más altas indican vulnerabilidades más graves.
El CVSS ha pasado por varias versiones y la última versión, hasta el momento en que tengo conocimiento, en enero de 2022, es CVSSv3.1. Proporciona una evaluación más refinada y precisa de las vulnerabilidades en comparación con versiones anteriores.
El sistema "Common Vulnerabilities and Exposures" (CVE), por otro lado, es una iniciativa separada que asigna identificadores únicos, llamados CVE ID, a las vulnerabilidades divulgadas públicamente. El sistema CVE no proporciona puntuaciones de gravedad por sí solo. En cambio, a menudo se utiliza junto con el CVSS para identificar y evaluar vulnerabilidades de forma única.
