Una vulnerabilidad en un plugin de WordPress permite que un atacante pueda obtener el control de la web afectada.
Hace unos día diversos expertos han descubierto un fallo en el plugin Fancy Product Designer. Este plugin se encuentra orientado a comercios online, ofreciendo a los usuarios la capacidad de personalizar productos mediante imágenes y ficheros PDF. Este descubrimiento resulta alarmante para más de 17.000 WordPress donde se encuentra instalado este plugin. Esta vulnerabilidad se ha catalogado con el identificador CVE-2021-24370 y cuenta con una puntuación CVSS de 9.8 sobre 10.
Es cierto que Fancy Product Designer cuenta con sistemas de protección que pretende prevenir la subida de ficheros maliciosos, pero resulta insuficiente ya que pueden esquivarse con facilidad. Esto da como resultado que un atacante pueda subir un fichero con código PHP ejecutable a cualquier sitio con el plugin instalado en una versión no parcheada.
Este tipo de errores demuestran la importancia de contar con centros de datos que sean capaces de leer en la capa de aplicación (capa 7) pudiendo identificar y bloquear este tipo de peticiones fraudulentas. Además, si cuentas con un buen centro de datos te resultara de gran ayuda para cumplir con los requisitos en materia de seguridad de la información y gestión de vulnerabilidades que se demandan en las webs de comercio electrónico.
En AspaCloud ofrecemos los mejores servicios en cuanto a centros de datos y alojamiento de racks se refiere, y para ello contamos con varios centros de datos virtuales ubicados en España, permitiéndole poder administrar uno o varios servidores con un gran seguridad y una insignificante latencia. También Además contamos con un gran equipo de profesionales totalmente formados y que cuentan con muchos años de experiencia en el sector, por ello, diversos rankings nos sitúan como una de las mejores empresas que ofrece tecnología Cloud en España y la gran mayoría de nuestros clientes quedan totalmente satisfechos con el servicio ofrecido por nuestra empresa,
Desde nuestra compañía Aspa.Cloud le recomendamos actualizar el plugin Fancy Product Designer a la versión 4.6.9 para poder hacer frente a esta vulnerabilidad. A finales de julio, todos los usuarios de Wordfence en su versión gratuita tendrán disponible una regla para bloquear estos ataques, aunque recomendamos actualizar manualmente el plugin.