Nuevo 0-day en WordPress

El lunes 8 de marzo de 2021, el equipo de Wordfence Threat
Intelligence encontró un 0-day en el plugin Plus para Elementor, un plugin premium
de WordPress que se estima que estaría instalado en alrededor de 30.000
páginas. El error permite a los atacantes crear nuevas cuentas de administrador
en sitios vulnerables, siempre y cuando este habilitado el registro de usuarios
junto con la autenticación como un usuario administrador.

El mismo plugin tiene una versión Lite que es gratuita y
creada por el mismo developer, está versión gratuita no es vulnerable al
exploit comentado anteriormente.

El plugin Plus para Elementor es un plugin diseñado para
añadir diferentes widgets que son utilizados con el plugin Elementor. Uno de
estos widgets permite añadir un form de inicio de sesión y registro a una página
con Elementor. Este plugin es el que tiene el fallo de seguridad, donde permite
registrarse con una nueva cuenta de administrador o bien iniciar sesión con una
cuenta de administrador ya existente. Además, hay que tener en cuenta que
teniendo instalado el plugin ya es suficiente para explotar la vulnerabilidad
sin la necesidad de tener una página de inicio de sesión o registro utilizando
el widget mencionado anteriormente.

Los creadores del plugin lanzaron el martes día 9 la versión
4.1.7, una nueva versión donde ya está parcheado la vulnerabilidad. Es muy
recomendable actualizar a esta última versión.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más noticias
Un grupo cibercriminal instala malware desde reuniones de Microsoft Teams
Leer más »
Un investigador logra piratear unas entradas de concierto usando IA
Leer más »
Una nueva campaña de phishing suplanta a ChatGPT
Leer más »
Nintendo sufre una exfiltración a través de un proveedor
Leer más »
Intentar burlarte de un estafador no es muy buena idea
Leer más »