3 Vulnerabilidades en un plugin de WordPress

Inicio   /   Blog   /    
3 Vulnerabilidades en un plugin de WordPress

Esta mañana ha sido lanzada la actualización a la versión 2.0.7 para el plugin WP Maintenance Mode, la cual incluye correcciones para 3 vulnerabilidades de seguridad. De acuerdo con WordPress.org este plugin tiene una gran popularidad, con más de 400.000 usuarios activos. Las vulnerabilidades fueron descubiertas por Sean Murphy, Desarrollador Senior Wordfence, y se notificó al autor del plugin la semana pasada. Al mismo tiempo que se notificaba al autor se agregó una nueva regla de seguridad al feed del firewall.

La vulnerabilidad más grave afecta a los sitios de WordPress que permiten el registro de usuarios (por ejemplo en cualquier comercio electrónico), permitiendo a un atacante descargar una lista de los correos electrónicos de todos los usuarios suscritos. Otra vulnerabilidad permite al atacante modificar la configuración del plugin. El plugin WP Maintenance Mode se retiró temporalmente del repositorio de plugins durante la semana pasada con el fin de solucionar todos estos agujeros de seguridad.

Vulnerabilidad 1: Divulgación de información

Gravedad CVSS: 4.3 (Media)

Esta vulnerabilidad permite a un atacante remoto descargar la lista de suscriptores que, durante el funcionamiento del plugín WP Maintenance Mode, han pedido que se le notifique cuando la página web vuelve a estar operativa. Para aprovechar esta vulnerabilidad el atacante únicamente necesita tener una cuenta registrada en el sitio víctima sin permisos especiales.

Vulnerabilidad 2: Falta de autorización

Gravedad CVSS: 4.3 (Media)

Esta vulnerabilidad permite a un atacante con una cuenta de nivel de suscriptor modificar la configuración del plugin.

Vulnerabilidad 3: ejecución remota de código

Gravedad CVSS: 9.1 (Crítica)

Nos gustaría reseñar la puntuación CVSS en el caso particular de esta vulnerabilidad. La puntuación CVSS para esta vulnerabilidad es muy alta debido a la forma en la que CVSS calcula gravedad. Se trata de una vulnerabilidad de nivel “crítico”, pero es importante que leas la descripción a continuación para comprender completamente el impacto que puede tener sobre tu web.

WP Maintenance Mode permite la entrada de información por parte un usuario sin verificar y que esta se evalúe como código PHP. En una instalación multisitio de WordPress se podría aprovechar esta vulnerabilidad para ejecutar comandos de shell, acceder a información sensible, obtener privilegios administrativos o causar una denegación de servicio.

Esto significa que en una instalación de multisitio de WordPress, al acceder a la administración de una de las web asociadas se puede obtener acceso completo a la red de administración y también obtener acceso al servidor de hosting para controlar completamente todas las web que se alojen en él.

Para aprovechar esta vulnerabilidad, es necesario tener acceso al área de administración en una instalación multisitio de WordPress por lo que esperamos que, aunque la puntuación CVSS sea de alto riesgo, esta vulnerabilidad no vaya a tener un impacto muy elevado.

No obstante es importante tener en cuenta su gravedad y las graves repercusiones que podría tener si un atacante accediese al shell de tu hosting.

Fuente: Wordfence

Mi web ha sido hackeada. ¿Qué puedo hacer?

La seguridad de las páginas web de nuestros clientes es una prioridad. Todos nuestros planes de alojamiento web están ubicados en centros de datos de alto rendimiento con elevadas medidas de seguridad.

La recomendación es mantener al día todas las características de nuestra web, especialmente en el caso de tratarse de un CMS (WordPress, Joomla, Magento, Prestashop…), así como de todos los complementos, plugins y componentes.

Si tu web ha sido claramente hackeada o tienes sospechas de que pueden estar operando con ella a tus espaldas contacta con nosotros. Nuestro equipo de expertos en seguridad web harán una evaluación de la situación y de riesgos para ofrecerte la mejor solución.

 

¡Tu opinión y comentarios nos importan!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Crealogic, Asociación de Profesionales del Diseño
Crealogic, Red Española de Asociaciones de Diseño
SeaComoSEO Colaborador Crealogic

Lo que se cuenta de nosotros

Con dos cortas conversaciones captó lo que necesitaba y el resultado no ha podido ser mejor. A día de hoy sigue resolviendo dudas y cambios que surgen con la misma fluidez que el primer día que empezamos a trabajar.
Ana García Interiorista con Crealogic
Ana García
Ana García Interiorista
Estamos muy contentos con los diversos trabajos que Crealogic está realizando para nuestros proyectos. El trato, la atención, la profesionalidad y el resultado nos parece fantástico. Muy recomendable
Blanca Soro
Universidad de Murcia
¡Trato excepcional! Muy buen servicio, resolvieron las dudas al momento y estamos muy contentos.
Obtuvimos resultados desde el primer día, ¡sin duda los recomiendo!
Patricia Martín Barnés, Interiorista y Arquitectura
Patricia Martín
Interiorista / Arquitecta
Crealogic, Asociación de Profesionales del Diseño
Crealogic, Red Española de Asociaciones de Diseño
SeaComoSEO Colaborador Crealogic

¿Trabajamos juntos?

Explora nuestros trabajos más destacados

¿Quieres colaborar?

Envía tu Propuesta

¿Quieres saludar?

Consultas Generales

¿Quieres unirte al equipo Crealogic?

Empleo y Candidaturas
BLOG DE MARKETING DIGITAL

Otros Artículos

¡Mantente a la vanguardia del Marketing Digital!

Las mejores estrategias, trucos y novedades en tu bandeja de entrada.
  • 🎯 Tips exclusivos para hacer crecer tu negocio online
  • 📈 Actualizaciones de tendencias en marketing digital
  • 🎁 ¡Y sorpresas solo para suscriptores!

Suscríbete ahora y mejora tu presencia digital!

Ir al contenido