Un Plugin de Wordpress con un bug puede haber afectado más de un millón de instalaciones.

Se trata del Plugin de Wordpress Essential Addons for Elementor el mismo que tiene más de un millón de instalaciones que podrían verse afectadas si no han actualizado a una versión posterior a la 5.05 del 28 de enero.

Un Plugin de Wordpress con un bug puede haber afectado más de un millón de instalaciones.

Se trata del Plugin de Wordpress Essential Addons for Elementor el mismo que tiene más de un millón de instalaciones que podrían verse afectadas si no han actualizado a una versión posterior a la 5.05 del 28 de enero.

Según Patchstack este bug permitia un ataque de inclusión de archivos locales así como ejecutar archivos con código PHP malicioso que normalmente no se puede ejecutar. El informe completo se puede leer desde aquí.

Esta vulnerabilidad solo es explotable si se utilizan widgets como la galería dinámica y la galería de productos, que utilizan la función vulnerable, lo que resulta en la inclusión de archivos locales, una técnica de ataque en la que se engaña a una aplicación web para que exponga o ejecute archivos arbitrarios en el servidor web.

La falla afecta a todas las versiones del complemento a partir de la 5.0.4 y anteriores, y se le atribuye el descubrimiento de la vulnerabilidad al investigador Wai Yan Myo Thet. Tras la divulgación responsable, el agujero de seguridad finalmente se tapó en la versión 5.0.5 lanzada el 28 de enero "después de varios parches insuficientes".

El desarrollo se produce semanas después de que se supo que actores no identificados manipularon docenas de temas y complementos de WordPress alojados en el sitio web de un desarrollador para inyectar una puerta trasera con el objetivo de infectar más sitios.

Si utilizas Wordpress te recomendamos que mantengas actulizados todos los complementos que utilizas en tu sitio web así como  software de Seguridad para manejar cualquier posible brecha en el mismo antes de que pueda ser explotado por cualquier atacante.

¿Qué es Patchstack?

Patchstack es una herramienta de seguridad avanzada de WordPress, que tiene una amplia lista de funciones disponibles, como detección de vulnerabilidades de plugins, detección de encabezados de seguridad HTTP o incluso detección de vulnerabilidades del núcleo de WordPress. También se conocía anteriormente como WebARX, la historia completa sobre el cambio de marca se puede encontrar aquí: Cambio de marca de WebARX a Patchstack.