Los investigadores descubrieron que un nuevo sitio se hace cargo de la campaña dirigida a los sitios web de WordPress explotando las múltiples vulnerabilidades de WordPress Plugin Zeroday.
Se explotan 3 complementos populares de WordPress como parte de esta campaña de ataque de toma de control del sitio en curso.
Esta campaña está dirigida principalmente a los sitios web de WordPress y explota las múltiples vulnerabilidades XSS en los enchufes vulnerables anteriores para inyectar el JavaScript malicioso.
La vulnerabilidad de secuencias de comandos entre sitios (XSS) permite a un atacante inyectar fragmentos de JavaScript no confiables en su aplicación sin validación. Este JavaScript es ejecutado por la víctima que está visitando el sitio de destino.
En los resultados, los atacantes crean una cuenta de administrador deshonesta para infectar con un sitio con la puerta trasera para futuros ataques.
Complemento Vulnerabilidades de día cero
El mismo tipo de vulnerabilidad XSS Zero almacenado no autenticado parcheado recientemente en los campos de pago flexible para el complemento WooCommerce que permitió a los atacantes modificar la configuración del complemento.
Otra vulnerabilidad de XSS almacenada en uno de los plugins JavaScript asíncronos anteriores permitió a los atacantes inyectar una carga útil diseñada para ejecutar JavaScript malicioso cuando un administrador de WordPress ve ciertas áreas de su tablero.
El complemento Javascript asíncrono está actualmente instalado en más de 100,000 sitios de WordPress y el autor Frank Goossens lanzó rápidamente un parche para este problema después de los problemas reportados por los investigadores de Wordfence.
Los investigadores de Wordfence informaron el tercer XSS almacenado no autenticado en 10Web Map Builder para Google Maps , que se ha instalado en 20,000 sitios web de WordPress.
Según el informe de Wordfence “La vulnerabilidad en 10Web Map Builder existe en el proceso de configuración del complemento. Se llama a las funciones de configuración del complemento durante las admin_init cuales, como los Campos de Pago Flexible, es accesible para usuarios no autenticados. Si un atacante inyecta JavaScript malicioso en ciertos valores de configuración, ese código se ejecutará para los administradores en su panel de control, así como para los visitantes al frente del sitio en algunas circunstancias “.
10Web Map Builder para Google Maps insta a los usuarios a actualizar a la versión 1.0.64 lo antes posible.
Por último, las vulnerabilidades de suscriptor múltiple + XSS almacenadas se informaron en Modern Events Calendar Lite, que se instaló en 40, 000 sitios web.
Los investigadores observaron que Modern Events Calendar Lite registra varias acciones de AJAX para iniciar sesión en usuarios que permitieron a usuarios con pocos privilegios, como un suscriptor, manipular los datos y se les pueden inyectar varias cargas útiles de XSS.
Depende de dónde el atacante inyecta el código y esta campaña actualmente apunta a los administradores para crear cuentas falsas para los atacantes.
Esta vulnerabilidad se ha solucionado ahora. Actualice a la versión 5.1.7 lo antes posible.
