Expertos en seguridad informática reportan el hallazgo de una vulnerabilidad crítica en Simple Membership, un popular plugin para WordPress que permite a los webmasters gestionar fácilmente las membresías en sus sitios web.
Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas ejecutar consultas SQL arbitrarias en la base de datos del sitio web, lo que podría conducir a otros escenarios de riesgo.
A continuación se presenta un breve resumen de la falla reportada, además de su clave de identificación y puntaje asignado acorde al Common Vulnerability Scoring System (CVSS).
Identificada como CVE-2021-29232, esta falla existe debido a una inadecuada desinfección de los datos ingresados por los usuarios en múltiples parámetros, lo que podría ser aprovechado por los actores de amenazas para enviar solicitudes especialmente diseñadas a Simple Membership con el fin de ejecutar comandos SQL arbitrarios en la base de datos afectada.
La falla recibió un puntaje CVSS de 7.1/10 y su explotación exitosa permitiría a los hackers maliciosos leer, eliminar o modificar la información en el sitio web vulnerable, además de obtener control total sobre el plugin.
Esta vulnerabilidad reside en las siguientes versiones de Simple Membership: 1.2, 1.3, 1.4, 1.5, 1.5.1, 1.6, 1.7, 1.7.1, 1.7.2, 1.7.3, 1.7.4, 1.7.5, 1.7.6, 1.7.7, 1.7.8 , 1.7.9, 1.8.0, 1.8.1, 1.8.2, 1.8.3, 1.8.4, 1.8.5, 1.8.6, 1.8.7, 1.8.8, 1.8.9, 1.9.0, 1.9 .1, 1.9.2, 1.9.3, 1.9.4, 1.9.5, 1.9.6, 1.9.7, 1.9.8, 1.9.9, 2.0, 2.1, 2.1.1, 2.1.2, 2.1.3 , 2.1.4, 2.1.5, 2.1.6, 2.1.7, 2.1.8, 2.1.9, 2.2, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6 , 2.2.7, 2.2.8, 2.2.9, 3.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.0.9 , 3.1.0, 3.1.1, 3.1.2, 3.1.3, 3.1.4, 3.1.5, 3.1.6, 3.1.7, 3.1.8, 3.1.9, 3.2.0, 3.2.1, 3.2 .2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.2.7, 3.2.8, 3.2.9, 3.3.0, 3.3.1, 3.3.2, 3.3.3, 3.3.4 , 3.3.5, 3.3.6, 3.3.7, 3.3.8, 3.3.9, 3.4.0, 3.4.1, 3.4.2, 3.4.3, 3.4.4, 3.4.5, 3.4.6, 3.4 .7, 3.4.8, 3.4.9, 3.5.0, 3.5.1, 3.5.2, 3.5.3, 3.5.4, 3.5.5, 3.5.6, 3.5.7, 3.5.8, 3.5.9 , 3.6.0, 3.6.1, 3.6.2, 3.6.3, 3.6.4, 3.6.5, 3.6.6, 3.6.7, 3.6.8, 3.6.9, 3.7.0, 3.7.1, 3.7 .2, 3.7.3, 3.7.4, 3.7.5, 3.7.5.1, 3.7.6, 3.7.7, 3.7.8, 3.7.9, 3.8.0, 3.8.1, 3.8.2, 3.8.3 , 3.8.4 , 3.8.5, 3.8.6, 3.8.7, 3.8.8, 3.8.9, 3.9.0, 3.9.1, 3.9.2, 3.9.3, 3.9.4, 3.9.5, 3.9.6, 3.9 .7, 3.9.8, 3.9.9, 4.0.0, 4.0.1, 4.0.2 y 4.0.3.
A pesar de que las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los expertos en seguridad informática aseguran que hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque.
Las actualizaciones ya están disponibles, por lo que se le recomienda a todos los usuarios de Simple Membership instalarlas a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).