esenfrdeitptru

CVE-2021-39333 vulnerabilidad en plugin de Wordpress permite eliminar la base de datos y archivos multimedia

AS-106-2021

Fecha: 28/Oct/2021

Resumen:

El portal de Wordfence, un plugin de firewall de aplicaciones Wordpress, informó que el 25 de agosto de 2021 detectó una vulnerabilidad en el plugin Hashthemes Demo Importer.

Se conoce que el plugin Hashthemes Demo Importer se encuentra instalado en al menos 7000 sitios. El fallo reportado fue etiquetado con el CVE-2021-39333, y un puntaje de vulnerabilidad 8.1 (Alto), conforme el CVSS 3.1

La vulnerabilidad permite que usuarios autenticados, con incluso bajos privilegios; como un suscriptor, puedan resetear el sitio y borrar permanentemente algunas tablas de la base de datos, incluido el contenido multimedia.

Este fallo destruiría los sitios de Wordpress que implementen la versión 1.1.1 del plugin Hashthemes Demo Importer. Se recomienda actualizar el plugin a la nueva versión, y mantener siempre activos los respaldos del sitio.

Referencias:

https://www.wordfence.com/blog/2021/10/site-deletion-vulnerability-in-hashthemes-plugin/

https://www.bleepingcomputer.com/news/security/brutal-wordpress-plugin-bug-allows-subscribers-to-wipe-sites/