Vulnerabilidad en plugin YITH WooCommerce Wishlist para WordPress

Nos informan nuestro proveedor Sucuri, que como parte de un proyecto de investigación de vulnerabilidad para su firewall, han estado auditando proyectos populares de código abierto que buscan problemas de seguridad y han descubierto una vulnerabilidad de inyección SQL que afecta al plugin YITH WooCommerce Wishlist para WordPress. Este complemento permite a los visitantes y posibles clientes crear listas de deseos de productos en la tienda de WooCommerce, y actualmente está instalado en más de 500.000 sitios web.

¿Estás en riesgo?

Esta vulnerabilidad es causada por la falta de desinfección de los datos proporcionados por el usuario en las versiones inferiores a la 2.2.0. Un atacante (con al menos una cuenta de suscriptor) podría perder datos confidenciales, y en ciertas configuraciones podría comprometer toda su instalación de WordPress.

Esta vulnerabilidad se explota fácilmente en servidores que ejecutan versiones de MySQL anteriores a la 5.7.

Detalles de vulnerabilidad

Dada la naturaleza de los ataques de inyección de SQL, hay muchas formas en que los ataques pueden causar daños. Algunos ejemplos incluyen el filtrado de hashes de contraseñas y otras claves criptográficas.

Los detalles técnicos de esta divulgación de vulnerabilidad se pueden encontrar en el blog de Sucuri: https://blog.sucuri.net/2018/01/sqli-vulnerability-in-yith-woocommerce-wishlist.html

¿Qué tengo que hacer?

Si tienes una página web WordPress y utilizas este plugin ¡actualiza lo antes posible a la versión 2.2.0!

Si tu web ha resultado infectada o comprometida, ponte en contacto con nosotros para contratar e instalar Sucuri en tu página web o tienda online y ¡despreocúpate de virus y piratas informáticos!