Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Los piratas informáticos están explotando una vulnerabilidad crítica en el complemento "Hunk Companion" para instalar y activar otros complementos con fallas explotables directamente desde el repositorio de WordPress.org.
Al instalar complementos obsoletos con vulnerabilidades conocidas con exploits disponibles, los atacantes pueden acceder a un gran conjunto de fallas que conducen a ejecución remota de código (RCE), inyección SQL, fallas de secuencias de comandos entre sitios (XSS) o creación de cuentas de administrador de puerta trasera.
La actividad fue descubierta por WPScan, quien la reportó a Hunk Companion, y ayer se publicó una actualización de seguridad que aborda la falla de día cero.
Durante las últimas 24 horas, la empresa de seguridad de WordPress Defiance bloqueó más de 56.000 ataques dirigidos a la vulnerabilidad Hunk Companion.
Recursos afectados
La vulnerabilidad, que afecta a las versiones anteriores de 1.9.0.
Solución
Las versiones más recientes del producto afectado 1.9.0 ya incluye los parches necesarios para estas vulnerabilidades.
Recomendaciones
Se recomienda actualizar a las últimas versiones disponibles de estos productos para asegurar la protección contra estos riesgos.