Se ha descubierto que un complemento de WordPress que publica automáticamente contenido raspado de otros sitios web para contener una vulnerabilidad crítica que permite a cualquier persona cargar archivos maliciosos a los sitios web afectados. La gravedad de la vulnerabilidad se clasifica en 9.8 en una escala de 1-10.
Complemento de generador de poste de raspador multisitio de Crawlomatic para WordPress
El complemento Crawlomatic WordPress se vende a través de la tienda Envato Codecanyon por $ 59 por licencia. Permite a los usuarios rastrear foros, estadísticas meteorológicas, artículos de RSS Feeds y raspar directamente el contenido de otros sitios web y luego publicar automáticamente el contenido en el sitio web del usuario.
La página web de Codecanyon de Envato del complemento presenta una pancarta que señala que el autor del complemento ha sido reconocido por haber cumplido con los “estándares de calidad de WordPress” y muestra una insignia que indica que los requisitos de envidia de Word “cumplen”, una indicación de que cumple con los estándares de “seguridad, calidad, rendimiento y codificación de Envato en los complementos y temas de WordPress”.
La página del directorio del complemento explica que puede rastrear y raspar prácticamente cualquier sitio web, incluidos los sitios basados en JavaScript, prometiendo que puede convertir el sitio web de un usuario en una “máquina de hacer dinero”.
Carga de archivos arbitraria no autenticada
Al complemento Crawlomatic WordPress le falta una verificación de validación del tipo de archivo en toda la versión antes e incluyendo la versión 2.6.8.1.
Según una advertencia publicada en Wordfence:
“El complemento de generador de postes de rascador multipage de Crawrawomatic para WordPress es vulnerable a las cargas de archivos arbitrarias debido a la validación de tipo de archivo faltante en la función Crawlomatic_Generate_Featued_image () en todas las versiones que superan, e incluye, 2.6.8.1. Esto hace posible para los atacantes no superalicotados para cargar archivos arbitrario en el sitio afectado que puede hacer que el ejecutivo de código remoto sea posible.
WordFence recomienda a los usuarios del complemento para actualizar a al menos la versión 2.6.8.2.
Lea más en WordFence:
Generador de poste de rabra de múltiples múltiples rastreadores <= 2.6.8.1 - carga de archivos arbitraria no autenticada
Imagen destacada de Shutterstock/Nakaridore
