Wordfence publicó un aviso sobre el complemento de escáner de malware de WordPress Malcure, que se descubrió que tenía una vulnerabilidad calificada en un nivel de empeoramiento de 8.1. Al momento de la publicación, no hay parche para solucionar el problema.
Captura de pantalla que muestra 8.1 clasificación de empeoramiento
Vulnerabilidad del escáner de malware Malcure
El complemento de escáner de malware Malcure, instalado en más de 10,000 sitios web de WordPress, es débil a la “aniquilación de archivos arbitrarios oportuno a una comprobación de capacidad faltante en la función wpmr_delete_file ()” por atacantes autenticados. El hecho de que un atacante necesite autenticación como usufructuario hace que sea un poco menos probable que sea explotado, sin secuestro, no mucho porque solo requiere autenticación a nivel de suscriptores, que es el nivel más bajo de autenticación. El rol de “suscriptor” es el nivel predeterminado de registro en un sitio web de WordPress (si se permite el registro).
De acuerdo a Ficción de Word:
“Esto hace posible que los atacantes autenticados, con camino a nivel de suscriptor y hacia lo alto, eliminen archivos arbitrarios que hacen posible la ejecución del código remoto. Esto solo es explotable cuando el modo innovador está recaudador en el sitio”.
No hay un parche conocido apto para el complemento y se advierte a los usuarios que tomen las acciones necesarias, como desinstalar el complemento para mitigar el peligro.
El complemento actualmente no está apto para descargar con un aviso que demuestra que está en revisión.
Captura de pantalla del complemento Malcure en el repositorio de WordPress
Estudiar más telediario de WordPress
WordPress Puesta al día 6.8.2 – Soporte de seguridad termina para el 0.9% de los sitios
Imagen destacada de Shutterstock/Kues