Una vulnerabilidad de día cero en el complemento de WordPress WPGateway ha aparecido recientemente en línea luego de exploits activos. Los investigadores notaron millones de intentos de ataque contra miles de sitios web. Por ahora, no hay ningún parche oficial disponible para el complemento.
Acerca de la vulnerabilidad de día cero del complemento WPGateway
Un informe reciente de Wordfence detalla una vulnerabilidad de día cero explotada activamente en el complemento de WordPress WPGateway.
WPGateway es un complemento premium de WordPress que facilita a los administradores la instalación, copia de seguridad y clonación de WordPress. El complemento actualmente tiene más de 280,000 descargas. Esto significa que cualquier vulnerabilidad en este complemento pone en peligro directamente a miles de sitios en todo el mundo.
Los investigadores han detectado y bloqueado más de 4,6 millones de intentos de explotación. Luego de este descubrimiento, los investigadores informaron responsablemente el problema a los desarrolladores. Sin embargo, según Wordfence, la vulnerabilidad aún está esperando un parche oficial de los desarrolladores. Desafortunadamente, esto significa que los sitios web que ejecutan este complemento están actualmente en riesgo de los atacantes que desarrollaron la explotación de la vulnerabilidad.
Dada la amenaza, Wordfence se abstuvo de compartir detalles técnicos sobre la vulnerabilidad. Sin embargo, confirmaron que la falla CVE-2022-3180 es una vulnerabilidad de gravedad crítica que permite a un atacante obtener privilegios elevados en el sitio web de destino. Incluso permite que un adversario no autenticado cree cuentas de administrador maliciosas.
Como no hay un parche oficial disponible, Wordfence recomienda a los administradores de WordPress que eliminen este complemento de sus sitios web. Mientras que aconsejan a los usuarios que revisen sus sitios web en busca de un posible compromiso buscando una cuenta de administrador con el nombre de usuario «rangex». Si está presente, los usuarios deben creer que sus sitios están siendo atacados o potencialmente comprometidos.
Los administradores del sitio deben consultar sus registros de acceso en busca de solicitudes en //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1.
Háganos saber sus pensamientos en los comentarios.