Se emitió un aviso de vulnerabilidad sobre dos temas de WordPress encontrados en ThemeForest que podrían permitir a un pirata informático eliminar archivos arbitrarios e inyectar scripts maliciosos en un sitio web.

Dos temas de WordPress vendidos en ThemeForest

Los dos temas de WordPress con vulnerabilidades se venden en ThemeForest y juntos tienen más de medio millón de ventas.

Los dos temas son:

• Tema Betheme para WordPress (306,362 ventas)
• The Enfold – Tema responsivo multipropósito para WordPress (260,607 ventas)

Tema Betheme para la vulnerabilidad de WordPress

Wordfence emitió un aviso de que el tema Betheme contenía una vulnerabilidad de inyección de objetos PHP que fue calificada como una alta amenaza.

Wordfence fue discreto en su descripción de la vulnerabilidad y no ofreció detalles sobre la falla específica. Sin embargo, en el contexto de un tema de WordPress, una vulnerabilidad de inyección de objetos PHP generalmente surge cuando la entrada de un usuario no se filtra (desinfecta) adecuadamente para cargas y entradas no deseadas.

Así lo describió Wordfence:

“El tema Betheme para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 27.5.6 inclusive a través de la deserialización de entradas no confiables del metavalor de la publicación ‘mfn-page-items’. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten un objeto PHP. No hay ninguna cadena POP conocida presente en el complemento vulnerable.

Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código”.

¿Se ha parcheado el tema de Betheme?

El tema Betheme para WordPress recibió un parche el 30 de agosto de 2024. Pero el aviso de Wordfence no lo reconoce. Es posible que sea necesario actualizar el aviso, no estoy seguro. Sin embargo, se recomienda que los usuarios del tema Enfold consideren actualizar su tema a la versión más reciente, que es la versión 27.5.7.1.

The Enfold – Tema responsivo multipropósito para WordPress

El tema de WordPress Enfold Responsive Multi-Purpose contiene una falla diferente y recibió una calificación de gravedad más baja de 6,4. Dicho esto, el editor del tema no ha publicado una solución para la vulnerabilidad.

Se descubrió un script almacenado entre sitios (XSS) en el tema de WordPress debido a una falla que se originó al no desinfectar las entradas.

Wordfence describe la vulnerabilidad:

“El tema Enfold – Responsive Multi-Purpose Theme para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través de los parámetros ‘wrapper_class’ y ‘class’ en todas las versiones hasta la 6.0.3 inclusive debido a una limpieza de entrada y un escape de salida insuficientes. . Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada”.

La vulnerabilidad de Enfold no ha sido parcheada

The Enfold – Tema multipropósito responsivo para WordPress no ha sido parcheado al momento de escribir este artículo y sigue siendo vulnerable. El registro de cambios que documenta las actualizaciones del tema muestra que se actualizó por última vez el 19 de agosto de 2024.

Captura de pantalla del registro de cambios del tema Enfold WordPress

The Enfold – Tema multipropósito responsivo para WordPress no ha sido parcheado al momento de escribir este artículo y sigue siendo vulnerable.

El aviso de Wordfence advirtió:

“No hay ningún parche conocido disponible. Revise los detalles de la vulnerabilidad en profundidad y emplee mitigaciones basadas en la tolerancia al riesgo de su organización. Quizás sea mejor desinstalar el software afectado y encontrar un reemplazo”.

Lea los avisos:

Betheme <= 27.5.6 – Inyección de objetos PHP autenticados (Colaborador+)

Enfold <= 6.0.3: secuencias de comandos entre sitios almacenadas autenticadas (Contributor+) a través de los parámetros wrapper_class y class