Retour

Vulnerabilidad Crítica sobre Wordpress

26/03/19

Vulnerabilidad Crítica sobre Wordpress

La semana pasada WordPress lanzó un parche de seguridad para la versión v.1.3.9.1 de su plugin Easy WP SMTP, con el que corregía una vulnerabilidad Zero-Day que estaba siendo explotada. Dicha vulnerabilidad permite que un usuario no autenticado pueda crear nuevos usuarios de WordPress y asignarles el rol de administrador.

La segunda vulnerabilidad, también Zero-Day (aprovechas vulnerabilidades nada más ser detectadas), afecta al plugin Social Warfare, y permite la realización de ataques tipo “Cross-Site Scripting (XSS)”.

Imagen

Si utilizamos este CMS para cualquier web, es recomendable actualizar ambos plugins cuanto antes.

  • En el caso del plugin Easy WP SMTP se debe actualizar a la última versión v1.3.9.1. Una vez actualizado es preciso revisar la sección de usuarios de WordPress para verificar que no se hayan agregado cuentas de usuario no autorizadas.
  • En cuanto al plugin Social Warfare, debe actualizarse a la versión 3.5.3. En caso de ya estar afectados por el ataque, se debe eliminar la configuración del plugin que contiene el código JavaScript ofensivo, en la base de datos con phpMyAdmin. Hay que buscar “social_warfare_settings en su wp_optionstabla” y eliminarlo.

También, es necesario/recomendable cambiar la contraseña de administrador del sitio WordPress.

Enlaces a las actualizaciones:

 

Fuente de información: CCN-CERT

Enlaces relacionados

Más información

Compartir en Redes Sociales