Una vulnerabilidad en el plugin Fancy Product Designer puede permitir que un atacante tome control absoluto del sitio wordpress mediante la subida y ejecución de código malicioso.
Este plugin esta orientado a comercios online permitiendo al usuario personalizar sus productos mediante imágenes y pdfs y está implementado en más de 17.000 sitios.
La vulnerabilidad permite subir al sitio WordPress, utilizando las funciones propias del plugin ficheros php maliciosos que posteriormente pueden ser ejecutados en remoto para tomar el control del sitio web.
Para mitigar el riesgo se recomienda instalar la última versión del plugin.
La vulnerabilidad está catalogada con el código CVE-2021-24370 y cuenta con una puntuación CVSS de 9.8 sobre 10.
Este tipo de vulnerabilidades ponen de manifiesto la importancia en aplicar las medidas de seguridad en los servidores web. Y entre ellas son fundamentales
- Mantener el software completamente actualizado, especialmente wordpress (incluyendo plugins), y software base como apache, php, y sistema operativo
- Instalar firewalls de capa 7 (nivel de aplicación) que son capaces de detectar y bloquear actividades maliciosas en la web
Más información en:
A critical zero-day vulnerability in the Fancy Product Designer WordPress plugin exposes more than 17,000 websites to attacks.
Critical 0-day in Fancy Product Designer Under Active Attack
