Una vulnerabilidad en un plugin de WordPress pone en riesgo de phishing a 20.0000 webs

El problema en el plugin ya está corregido. El desarrollador lanzó una actualización de su herramienta hace unos días.

Alberto Payo

Periodista

Guardar

Imagen de archivo de WordPress.
Imagen de archivo de WordPress.

Wordpress es un sistema de gestión de contenidos muy versátil y fácil de usar, con grandes posibilidades para editores, retails, bloggers, pymes, etc. Sin embargo, también tiene sus riesgos. Hace unas semanas dejó vendidos a 1,2 millones millones de clientes. 

En ocasiones los problemas no vienen tanto por la plataforma en sí, sino por los plugins que se han instalado sobre ella. Cuantos más utilicemos en nuestra web más posibilidades tendremos de tener agujeros de seguridad. 

Cada cierto tiempo hay un plugin de WordPress que se descubre vulnerable a los actores de amenazas. En esta ocasión le ha tocado a WP HTML Mail, un complemento usado para diseñar correos electrónicos personalizados, notificaciones de formularios de contacto y mensajes customizados que se había instalado en más de 20.000 páginas web.

El plugin tiene compatibilidad con WooCommerce, Ninja Forms, BuddyPress y otros. Aunque la cifra de sitios que lo usaban no ha sido elevadísima, el problema es que muchos de los afectados sí que contarían con una audiencia significativa. 

La vulnerabilidad en este caso es una falla de alta gravedad que permite la inyección de código malcioso y la distribución de correos electrónicos de phishing (con la dirección de la web, lo que aumenta su credibilidad). Los investigadores la han bautizado como 'CVE-2022-0218'. 

Desde el equipo de inteligencia de amenazas de Wordfence han explicado que un actor no autenticado puede aprovecharla para modificar una plantilla de correo electrónico para que contenga datos arbitrarios elegidos a su antojo. 

El problema radica en el registro del complemento de dos rutas REST-API utilizadas para recuperar y actualizar la configuración de la plantilla de correo electrónico. Estos puntos finales de API no estaban adecuadamente protegidos contra el acceso no autorizado. 

Pesadilla antes de Navidad

Wordfence se percató de la vulnerabilidad el pasado 23 de diciembre y se lo comunicó al desarrollador de la herramienta en dicha jornada.

Sin embargo, pasaron todas las fiestas de Navidad hasta que obtuvieron una respuesta del mismo. Este contestó el 10 de enero y tres días después lanzó la versión 3.1 que corregía el problema. 

Todas aquellas páginas o tiendas online que tengan WP HTML Mail instalado deberían asegurarse de que están ejecutando la última versión para estar convenientemente protegidas.