Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades en Hide My WP, un popular plugin de seguridad para sitios web en WordPress. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar múltiples escenarios de ataque.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados por el Common Vulnerability Scoring System (CVSS).
CVE-2021-36916: Esta falla existe debido a una desinfección insuficiente de los datos proporcionados por el usuario en la función “hmwp_get_user_ip” empleando los encabezados de la dirección IP. Los actores de amenazas remotos podrían enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios en una base de datos vulnerable.
La vulnerabilidad recibió un puntaje CVSS de 8.5/10 y su explotación exitosa permitiría el acceso a datos confidenciales y el compromiso tota de la aplicación afectada.
CVE-2021-36917: Por otra parte, esta falla existe debido a la aplicación incorrecta de restricciones de acceso en tokens de restablecimiento. Los hackers maliciosos remotos pueden desactivar el plugin afectado y realizar ataques de denegación de servicio (DoS).
Esta es una falla de severidad media y recibió un puntaje CVSS de 4.6/10.
Según el reporte, las fallas detectadas residen en las siguientes versiones de Hide My WP: 6.2.3.
Aunque las fallas pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado incidentes de explotación activa. No obstante, se recomienda a los usuarios de implementaciones afectadas aplicar los parches de seguridad disponibles.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.