El complemento premium WordPress Fancy Product Designer de Radykal es vulnerable a dos fallas críticas de gravedad que no se corrigen en la última versión actual.
Con más de 20.000 ventas, el complemento le permite personalizar diseños de productos (por ejemplo, ropa, tazas, fundas para teléfonos) en sitios WooCommerce cambiando colores, transformando texto o modificando el tamaño.
Mientras revisaba el complemento, Rafie Muhammad de Patchstack descubrió el 17 de marzo de 2024 que el complemento era vulnerable a los dos defectos críticos siguientes:
- CVE-2024-51919 (Puntuación CVSS: 9.0): Vulnerabilidad de carga de archivos arbitrarios no autenticados causada por una implementación insegura de las funciones de carga de archivos “save_remote_file” y “fpd_admin_copy_file”, que no validan ni restringen adecuadamente los tipos de archivos. Los atacantes pueden aprovechar esto proporcionando una URL remota para descargar archivos maliciosos, logrando así la ejecución remota de código (RCE).
- CVE-2024-51818 (Puntuación CVSS: 9,3): Fallo de inyección de SQL no autenticado causado por una desinfección inadecuada de la entrada del usuario debido al uso de strip_tags insuficientes. Las entradas proporcionadas por el usuario se introducen directamente en las consultas de la base de datos sin una validación adecuada, lo que puede llevar a comprometer la base de datos, recuperar, modificar y eliminar datos.
Aunque Patchstack informó al proveedor de los problemas un día después de descubrirlos, Radykal nunca respondió.
El 6 de enero, Patchstack agregó las fallas a su base de datos y hoy publicó una publicación en su blog para advertir a los usuarios y crear conciencia sobre los riesgos.
Incluso después de lanzar 20 nuevas versiones, la última de las cuales fue la 6.4.3, lanzada hace dos meses, los dos problemas críticos de seguridad aún no se han solucionado, afirma Muhammad.
Artículo de la pila de parches proporciona suficiente información técnica para permitir a los atacantes crear exploits y comenzar a apuntar a tiendas en línea que utilizan el complemento Fancy Product Designer de Radykal.
Normalmente, los administradores deben evitar la carga de archivos arbitrarios creando una lista de permitidos con extensiones de archivo seguras. Además, Patchstack recomienda protegerse contra la inyección de SQL desinfectando la entrada del usuario para una consulta realizando un escape y formateo seguros.
BleepingComputer se puso en contacto con Radycal para preguntarle si planeaba lanzar una actualización de seguridad pronto, pero no hubo comentarios disponibles de inmediato.