Posted on

Diversas vulnerabilidades en plugins de WordPress

Se han detectado diversas vulnerabilidades en plugins de WordPress.

Análisis

 

El plugin Customer Email Verification for WooCommerce para WordPress es vulnerable a Email Verification and Authentication Bypass en todas las versiones hasta, e incluyendo, 2.7.4 a través del uso de un código de activación insuficientemente aleatorio.
 
    • CVE-2024-4185: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

El plugin ZD YouTube FLV Player para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta, e incluyendo, la 1.2.6 a través del parámetro $_GET[‘image’].

    • CVE-2024-2663: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

El plugin ACF Front End Editor para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de comprobación de capacidad en la función update_texts() en todas las versiones hasta la 2.0.2 inclusive.

    • CVE-2024-3072: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

 

Recursos afectados

Para el plugin WooCommerce: versiones anteriores a la 2.7.4, inclusive.
Para el plugin ZD YouTube FLV Player: versiones anteriores a la 1.2.6, inclusive.
Para el plugin ACF Front End Editor: versiones anteriores a la 2.0.2, inclusive.

 

Recomendaciones

Para el plugin WooCommerce: actualizar a la versión más reciente 2.7.5.
Para el plugin ZD YouTube FLV Player: por el momento no hay solución.
Para el plugin ACF Front End Editor: por el momento no hay solución.
 

Referencias

 

Posted on

Vulnerabilidad en Google Doc Embedder para WordPress

Se ha detectado una vulnerabilidad en el plugin Google Doc Embedder para WordPress en versiones hasta la 2.6.4 inclusive. 

Análisis

El plugin Google Doc Embedder para WordPress es vulnerable a la falsificación de petición del lado del servidor a través del shortcode ‘gview’ en versiones hasta la 2.6.4 inclusive.

Esto puede permitir a atacantes autenticados con permisos de nivel de colaborador o superior realizar peticiones web a ubicaciones arbitrarias originadas desde la aplicación web y puede utilizarse para consultar y modificar información de servicios internos.

Se le ha asignado CVE-2024-0216

Recursos afectados

Versiones anteriores a la 2.6.4, inclusive.

Recomendaciones

No se conoce ningún parche disponible, como recomendación se puede desinstalar el software afectado y buscar un sustituto.

Referencias

Posted on

Fallo en el plugin «WP Automatic» para WordPress

Una vulnerabilidad en el plugin WP Automatic para WordPress permite que un atacante acceda a páginas web, cree un usuario de administrador, suba archivos maliciosos e incluso tome control total sobre los sitios atacados. Aunque esta vulnerabilidad fue descubierta en marzo del 2024, es ahora en abril cuando se está explotando masivamente.

Análisis

Esta vulnerabilidad ha sido catalogada como crítica (9.9) por PatchStack, el NIST aún no ha publicado puntuación. Un fallo de tipo SQL injection permite que un atacante pueda crear usuarios con permisos de administrador para ganar acceso en la página objetivo.

Se le ha asignado el identificador CVE-2024-27956.

Recomendaciones

Instalar la versión 3.9.21 que corrige esta vulnerabilidad.

Referencias

https://nvd.nist.gov/vuln/detail/CVE-2024-27956
https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html
https://wpautomatic.com/

Posted on

Actualización de parches críticos de Oracle – Abril 2024

Oracle ha publicado un aviso que contiene 441 nuevos parches de seguridad para diferentes familias de productos. En este aviso cubriremos las vulnerabilidades críticas de los propios productos Oracle.

Análisis

Los parches de seguridad resuelven las siguientes vulnerabilidades:

    • CVE-2024-21071 : Vulnerabilidad en el producto Oracle Workflow de Oracle E-Business Suite (componente: Admin Screens and Grants UI). Una vulnerabilidad fácilmente explotable permite a un atacante con privilegios elevados con acceso a la red a través de HTTP poner en peligro Oracle Workflow. Aunque la vulnerabilidad se encuentra en Oracle Workflow, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Workflow.
    •  CVE-2024-21092 : Vulnerabilidad en el producto Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain (componente: Product Quality Management). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Agile Product Lifecycle Management for Process. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación no autorizada, eliminación o modificación de acceso a datos críticos o a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process.
    • CVE-2024-21082: Vulnerabilidad en el producto Oracle BI Publisher de Oracle Analytics (componente: XML Services). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Oracle BI Publisher. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle BI Publisher.

    • CVE-2024-21095: Vulnerabilidad en el producto Primavera P6 Enterprise Project Portfolio Management de Oracle Construction and Engineering (componente: Web Access). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de HTTP comprometer Primavera P6 Enterprise Project Portfolio Management. Ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Primavera P6 Enterprise Project Portfolio Management así como acceso no autorizado de actualización, inserción o borrado a algunos de los datos accesibles de Primavera P6 Enterprise Project Portfolio Management.

    • CVE-2024-21007: Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de T3, IIOP comprometer Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle WebLogic Server.

    • CVE-2024-21010: Vulnerabilidad en el producto Oracle Hospitality Simphony de Oracle Food and Beverage Applications (componente: Simphony Enterprise Server). Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP poner en peligro Oracle Hospitality Simphony. Aunque la vulnerabilidad se encuentra en Oracle Hospitality Simphony, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Hospitality Simphony. 

Versiones Afectadas: 

    • Oracle Hospitality Simphony versiones 19.1.0-19.5.4
    • Oracle WebLogic Server versiones 12.2.1.4.0 y 14.1.1.0.0
    • Primavera P6 Enterprise Project Portfolio Management versiones 19.12.0-19.12.22, 20.12.0-20.12.21, 21.12.0-21.12.18, 22.12.0-22.12.12 y 23.12.0-23.12.2
    • Oracle BI Publisher versiones 7.0.0.0.0 y 12.2.1.4.0.
    • Oracle Agile Product Lifecycle Management for Process versiones 6.2.4.2
    • Oracle Workflow versiones 12.2.3-12.2.13

Recomendaciones 

Actualice según las instrucciones especificadas por Oracle para cada uno de sus productos.

Referencias

https://www.oracle.com/security-alerts/cpuapr2024.html
https://nvd.nist.gov/vuln/detail/CVE-2024-21010
https://nvd.nist.gov/vuln/detail/CVE-2024-21007
https://nvd.nist.gov/vuln/detail/CVE-2024-21095
https://nvd.nist.gov/vuln/detail/CVE-2024-21082
https://nvd.nist.gov/vuln/detail/CVE-2024-21092
https://nvd.nist.gov/vuln/detail/CVE-2024-21071