Se ha descubierto que Fancy Product Designer, un complemento de WordPress instalado en más de 17.000 sitios, contiene una vulnerabilidad crítica de carga de archivos que se está explotando activamente para cargar malware.
El equipo de inteligencia de amenazas de Wordfence, que descubrió la falla, dijo que informó del problema al desarrollador del complemento el 31 de mayo. Si bien se ha reconocido la falla, aún no se ha abordado.
Fancy Product Designer es una herramienta que permite a las empresas ofrecer productos personalizables, lo que permite a los clientes diseñar cualquier tipo de artículo, desde camisetas hasta fundas para teléfonos, ofreciendo la posibilidad de cargar imágenes y archivos PDF que se pueden agregar a los productos.
«Desafortunadamente, aunque el complemento tenía algunas comprobaciones para evitar que se cargaran archivos maliciosos, estas comprobaciones eran insuficientes y se podían omitir fácilmente, permitiendo a los atacantes cargar archivos PHP ejecutables en cualquier sitio con el complemento instalado», dijo Wordfence en un escrito -up publicado el martes.
Armado con esta capacidad, un atacante puede lograr la ejecución remota de código en un sitio web afectado, lo que permite la toma de control total del sitio, anotaron los investigadores. Wordfence no ha compartido los detalles técnicos de la vulnerabilidad, ya que encontró evidencia de abuso desde el 30 de enero.
Wordfence dijo que el día cero crítico podría explotarse en configuraciones seleccionadas incluso si el complemento se ha desactivado, instando a los usuarios a desinstalar completamente Fancy Product Designer hasta que esté disponible una versión parcheada.
Esta está lejos de ser la primera vez que Wordfence ha revelado problemas graves en los complementos de WordPress. En diciembre de 2017, se descubrió que una puerta trasera oculta en el complemento captcha de BestWebSoft afectaba a 300.000 sitios.
Luego, a principios de este año, los investigadores revelaron vulnerabilidades en Elementor y WP Super Cache que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web en ciertos escenarios.
Actualización: Fancy Product Designer lanzó una actualización (versión 4.6.9) para remediar la vulnerabilidad de carga de archivos antes mencionada.
