Se ha descubierto una vulnerabilidad crítica en Ultimate Member, un popular complemento de WordPress utilizado en más de 200,000 sitios web. Identificada como CVE-2024-1071, esta falla de seguridad ha sido calificada con una puntuación CVSS alarmante de 9.8 sobre 10, lo que indica su severidad y potencial impacto.
Vulnerabilidad Crítica Descubierta en Ultimate Member
-¿Cómo Afecta Esta Vulnerabilidad a los Sitios Web?
Tal y como informa The Hacker New, el problema radica en una inyección SQL a través del parámetro ‘clasificación’ en las versiones 2.1.3 a 2.8.2 del complemento. Esta vulnerabilidad permite a los atacantes no autenticados manipular consultas SQL para extraer datos confidenciales de la base de datos de un sitio web.
Específicamente, los sitios afectados son aquellos que han activado la opción ‘Habilitar tabla personalizada para usermeta’ en la configuración de Ultimate Member.
-Medidas de Prevención y Solución
La divulgación responsable de esta falla se realizó el 30 de enero de 2024, y los desarrolladores de Ultimate Member respondieron rápidamente lanzando la versión 2.8.3 el 19 de febrero para abordar esta vulnerabilidad. Se insta a los usuarios del complemento a actualizar a la última versión inmediatamente para proteger sus sitios de posibles explotaciones.
-Ataques Recientes y Tendencias Preocupantes
Este no es el primer incidente de seguridad que involucra a Ultimate Member; en julio de 2023, una deficiencia similar fue explotada activamente para comprometer sitios web. Además, este anuncio llega en un momento en que los sitios de WordPress comprometidos están siendo utilizados en campañas para inyectar drenajes criptográficos o redirigir a los visitantes a sitios de phishing Web3.
La reciente vulnerabilidad de Ultimate Member subraya la importancia crítica de mantener los complementos y plataformas de WordPress actualizados. Además, destaca la necesidad de implementar prácticas de seguridad robustas para proteger tanto a los propietarios de sitios web como a los usuarios finales de los crecientes riesgos de seguridad en el ecosistema digital actual.