Vulnerabilidad crítica para Woocommerce

 

El 11 de marzo de 2025, se identificó una vulnerabilidad crítica en el popular plugin de WordPress "HUSKY – WooCommerce Products Filter Professional" (anteriormente conocido como WOOF), que afecta a más de 100,000 tiendas en línea. Esta vulnerabilidad, catalogada como CVE-2025-1661 con una puntuación CVSS de 9.8, permite a atacantes no autenticados ejecutar archivos arbitrarios en servidores afectados, lo que podría resultar en brechas de datos, desfiguración de sitios y control total del sistema.

Detalles de la Vulnerabilidad

La falla reside en una vulnerabilidad de Inclusión Local de Archivos (LFI) presente en versiones del plugin hasta la 1.3.6.5 inclusive. Esta vulnerabilidad se encuentra en el parámetro 'template' de la acción AJAX 'woof_text_search', lo que permite a actores malintencionados inyectar y ejecutar cualquier código PHP presente en el servidor.

Impacto Potencial

La explotación de esta vulnerabilidad puede tener consecuencias graves, incluyendo:

• Robo de datos sensibles: Información de clientes como nombres, direcciones, datos de pago e historiales de pedidos podrían ser comprometidos.

• Inyección de código malicioso: Esto podría llevar a la desfiguración del sitio, redirección a sitios de phishing o instalación de puertas traseras para acceso persistente.

• Control completo del servidor: En casos donde los atacantes puedan cargar e incluir tipos de archivos "seguros", como imágenes con código malicioso incrustado, podrían obtener control total del servidor.

Medidas de Mitigación

Se recomienda encarecidamente a los propietarios de tiendas en línea que utilicen este plugin que actualicen inmediatamente a la versión 1.3.6.6, la cual incluye una solución para esta vulnerabilidad.

Conclusión

La detección de la vulnerabilidad CVE-2025-1661 destaca la importancia de mantener actualizados los plugins y sistemas de gestión de contenido. La rápida acción para parchear y actualizar componentes vulnerables es esencial para proteger la integridad y seguridad de las plataformas de comercio electrónico.

Fuentes: 

A continuación se presentan las fuentes utilizadas en el artículo, junto con sus respectivos enlaces:

• Base de Datos Nacional de Vulnerabilidades (NVD): Proporciona detalles técnicos sobre la vulnerabilidad CVE-2025-1661.

  nvd.nist.gov

• Security Online: Informa sobre la vulnerabilidad crítica que afecta a más de 100,000 sitios de WooCommerce.

  securityonline.info

• SecAlerts: Ofrece información sobre la inclusión de archivos locales no autenticados relacionada con CVE-2025-1661.

  secalerts.co

• Wordfence: Base de datos de vulnerabilidades de WordPress que incluye información sobre CVE-2025-1661.

  Wordfence

• GitHub Advisory Database: Contiene detalles sobre la vulnerabilidad CVE-2025-1661 en el plugin HUSKY.

  GitHub

Estas fuentes proporcionan información detallada y técnica sobre la vulnerabilidad CVE-2025-1661 y sus implicaciones para los sitios que utilizan el plugin HUSKY – WooCommerce Products Filter Professional.

 

Extensión de VSCode contiene código malicioso

«Un lobo en el modo oscuro» (A Wolf in Dark Mode) así ha llamado a su post Amit Assaraf, un conocido analista de extensiones de VSCode. En la última entrada de su blog nos advierte de la extensión «Material Theme«, la cual es una de las más populares en VSCode y que, después de analizarla, contiene código malicioso, aunque actualmente está retirado por Microsoft.

Material Theme – Free es una extensión que cambia el tema de VSCode y que está instalada casi 4 millones de veces, lo que hace que sea una de las más populares entre los desarrolladores, provocando la preocupación de la comunidad.

Evaluación de riesgos del escáner para el tema «Material Theme»
Fuente: app.extensiontotal.com

Por lo que nos cuenta en su blog Amit Assaraf, aunque Microsoft ha eliminado la extensión de su tienda, consiguió exponer a 4 millones de desarrolladores. Su creador, Mattia Astorino (conocido como Equinusocio), es de los más populares en la tienda (cuenta con más de 13 millones de instalaciones en total), teniendo bajo su mano otra popular extensión que cuenta con más de 5 millones de instalaciones, Material Theme Icons — Free. Con el fin de mitigar la problemática, Microsoft también ha eliminado esta extensión, además de otras no relacionadas con Equinusocio, pero sí con personas que comparten nombre con él.

«A member of the community did a deep security analysis of the extension and found multiple red flags that indicate malicious intent and reported this to us. Our security researchers at Microsoft confirmed this claims and found additional suspicious code.»

«We banned the publisher from the VS Marketplace and removed all of their extensions and uninstalled from all VS Code instances that have this extension running. For clarity – the removal had nothing to do about copyright/licenses, only about potential malicious intent.»

Microsoft, refiriéndose a Amit Assaraf e Itay Kruk:

Código malicioso

Los investigadores creen que el código malicioso fue introducido en una actualización de las extensiones, indicando un ataque de la cadena de suministro a través de dependencias o que la cuenta del desarrollador fue comprometida.

Aparentemente el escáner marcó la extensión al detectar la ejecución de código JavaScript, ya que los temas deben ser archivos estáticos y no ejecutar ningún tipo de código.

Código JavaScript ofuscado en el fichero «release-notes.js»
Fuente: BleepingComputer

Microsoft ha indicado que dará más información sobre la extensión y cualquier actividad maliciosa detectada en el mismo repositorio cuando haya podido desofuscar el código completo.

Aparentemente, y según ha confirmado su desarrollador, el problema venía por una dependencia obsoleta llamada «Sanity.io».

A continuación os facilitamos una lista de los proyectos que se recomiendan eliminar hasta que la situación se aclare:

• equinusocio.moxer-theme
• equinusocio.vsc-material-theme
• equinusocio.vsc-material-theme-icons
• equinusocio.vsc-community-material-theme
• equinusocio.moxer-icons

El enfado del desarrollador

El creador de las extensiones ha indicado que ha desarrollado un nuevo tema desde cero, llamada «Fanny Themes» la cual fue eliminada también por Microsoft posteriormente, lo que ha provocado un enfado en él, el cual ha mostrado en varias publicaciones.

«That dependency has been there since 2016 and passed every check since then, now it looks compromised but NO ONE from Microsoft reached us to remove it. They just pulled down everything causing issues to millions of users, and causing a loop in vscode (yep, it’s their fault)»

«They broke everything without ever reaching out to us for clarification. Removing the old dependency was a quick 30-second fix, but it seems that’s just how Microsoft operates. We also ship an obfuscated index.js file that contains all the theme commands and logic. It’s obfuscated because the extension is now closed-source; however, if you delete it, the extension will still function with plain JSON files.»

Son algunos de los textos que el desarrollador ha ido publicando. Pueden seguir el hilo de GitHub para más información.

Más información:

• https://github.com/microsoft/vsmarketplace/
• https://www.bleepingcomputer.com/news/security/vscode-extensions-with-9-million-installs-pulled-over-security-risks/
• https://medium.com/extensiontotal/a-wolf-in-dark-mode-the-malicious-vs-code-theme-that-fooled-millions-85ed92b4bd26
• https://securityonline.info/material-theme-banned-millions-of-vs-code-users-affected/

Vía:
https://unaaldia.hispasec.com/2025/03/extension-de-vscode-contiene-codigo-malicioso.html