El popular plugin de seguridad para WordPress, Malcure Malware Scanner, ha sido reportado con una vulnerabilidad de alta severidad (8.1/10) según un aviso publicado por Wordfence.
Actualmente, el plugin se encuentra temporalmente retirado del repositorio de WordPress.
Detalles de la vulnerabilidad
El problema afecta a la función wpmr_delete_file() del plugin, permitiendo a atacantes autenticados eliminar archivos arbitrarios del servidor.
Aunque requiere acceso de usuario registrado, incluso el nivel más bajo de suscriptor es suficiente para explotar la vulnerabilidad si el modo avanzado está habilitado.
En palabras de Wordfence:
“Esto hace posible que atacantes autenticados, con acceso de nivel suscriptor o superior, eliminen archivos arbitrarios, haciendo posible la ejecución remota de código. Solo es explotable cuando el modo avanzado está habilitado en el sitio.”
Impacto y recomendaciones
- Más de 10.000 sitios podrían verse afectados.
- Actualmente no existe un parche disponible, lo que incrementa el riesgo.
- Se recomienda desinstalar inmediatamente el plugin hasta que se publique una actualización segura.
- El plugin ha sido retirado temporalmente del repositorio de WordPress y está bajo revisión.
Consejos de seguridad para WordPress
- Mantener siempre los plugins y temas actualizados desde fuentes oficiales.
- Limitar permisos de usuario y revisar roles asignados.
- Implementar copias de seguridad periódicas antes de instalar plugins nuevos.
- Usar soluciones de seguridad confiables para monitorear actividad sospechosa.
Esta vulnerabilidad refuerza la importancia de evaluar cuidadosamente los plugins de seguridad antes de instalarlos y de actuar rápidamente ante cualquier aviso de seguridad publicado por proveedores confiables.