¡Alerta! WordPress afectado por un malware con una gravedad de 9,8 sobre 10: cómo saber si eres víctima
WordPress ha sufrido un fallo de seguridad calificado con una gravedad de 9,8 sobre 10, un malware ha infectado 10.000 sitios web a través de una extensión. Solo el 12% de los usuarios han instalado el parche de seguridad que soluciona el problema.
WordPress ha sufrido un importante fallo de seguridad con un malware que podría poner en peligro la información sensible de miles de usuarios. La compañía ha lanzado un parche que soluciona el problema, pero la mayoría de las webs siguen sin instalarlo.
La plataforma ha detectado el acceso de un actor malicioso no autenticado tras la vulnerabilidad conocida como CVE-2024-11972, según han expresado los investigadores de seguridad de la empresa.
El fallo se encuentra en la extensión Hunk Companion, un complemento que se ha instalado en 10.000 sitios web que utilizan este sistema de gestión de contenido. La vulnerabilidad es una de las más graves a las que se enfrenta la compañía, con una calificación de 9,8 sobre 10, recoge Ars Technica.
WordPress ha solucionado el problema con Hunk Companion, pero la web de esta extensión asegura que menos del 12% de los usuarios han instalado el parche de seguridad. Las webs de casi 9.000 empresas podrían ser más vulnerables a un ciberataque proximamente.
Descubrieron la vulnerabilidad mientras analizaban la web de un cliente
Los ciberatacantes han conseguido que el malware pase desapercibido hasta comprometer casi 10.000 sitios. WordPress se dio cuenta de la vulnerabilidad después de analizar una web infectada de un cliente con la herramienta WP Scan.
La brecha de seguridad ha permitido a los hackers que las webs descarguen automáticamente WP Query Console, un complemento que no se ha actualizado en años, desde la dirección modificada de wordpress.org. Esta extensión les permitió insertar un software malicioso y distribuirlo entre algunos usuarios.
WordPress ha eliminado este plugin de su plataforma en octubre mientras comprueba el sistema de seguridad que ha fallado. Los investigadores han informado que el origen del fallo está en el código de la versión 1.8.5 de Hunk Companion que permitía enviar solicitudes no autenticadas que se saltan las comprobaciones de la plataforma.
La vulnerabilidad de Hunk Companion se ha corregido con la versión 1.9.0 que se lanzó el pasado 10 de diciembre, aunque por el momento no está claro si la URL modificada de wordpress.org sigue permitiendo descargar los plugins bloqueados.