Wordfence publicó un aviso sobre el complemento de escáner de malware de WordPress Malcure, que se descubrió que tenía una vulnerabilidad calificada en un nivel de gravedad de 8.1. Al momento de la publicación, no hay parche para solucionar el problema.
Captura de pantalla que muestra 8.1 clasificación de gravedad
Vulnerabilidad del escáner de malware Malcure
El complemento de escáner de malware Malcure, instalado en más de 10,000 sitios web de WordPress, es vulnerable a la “eliminación de archivos arbitrarios debido a una verificación de capacidad faltante en la función wpmr_delete_file ()” por atacantes autenticados. El hecho de que un atacante necesite autenticación como usuario hace que sea un poco menos probable que sea explotado, sin embargo, no mucho porque solo requiere autenticación a nivel de suscriptores, que es el nivel más bajo de autenticación. El rol de “suscriptor” es el nivel predeterminado de registro en un sitio web de WordPress (si se permite el registro).
Según Wordfence:
“Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y arriba, eliminen archivos arbitrarios que hacen posible la ejecución del código remoto. Esto solo es explotable cuando el modo avanzado está habilitado en el sitio”.
No hay un parche conocido disponible para el complemento y se advierte a los usuarios que tomen las acciones necesarias, como desinstalar el complemento para mitigar el riesgo.
El complemento actualmente no está disponible para descargar con un aviso que demuestra que está en revisión.
Captura de pantalla del complemento Malcure en el repositorio de WordPress
Leer más noticias de WordPress
WordPress Actualización 6.8.2 – Soporte de seguridad termina para el 0.9% de los sitios
Imagen destacada de Shutterstock/Kues
