Millones de sitios de WordPress se ven obligados a corregir vulnerabilidades críticas de complementos

Millones de sitios de WordPress se ven obligados a corregir vulnerabilidades críticas de complementos

imágenes falsas

Millones de sitios de WordPress recibieron actualizaciones obligatorias el día anterior para corregir una vulnerabilidad en un complemento llamado UpdraftPlus.

Este parche obligatorio a pedido de los desarrolladores de UpdraftPlus se produjo debido a la gravedad de la vulnerabilidad, que permite a los suscriptores, clientes y otros no confiables descargar la base de datos personal del sitio siempre que tengan una cuenta en el sitio vulnerable. Las bases de datos a menudo contienen información confidencial sobre los clientes o los sistemas de seguridad del sitio, lo que hace que millones de sitios sean vulnerables a violaciones de datos graves, como la filtración de contraseñas, nombres de usuario, direcciones IP y más.

Malos efectos, fácil de usar.

UpdraftPlus simplifica el proceso de copia de seguridad y restauración de bases de datos web y es uno de los complementos de copia de seguridad programada más utilizados en Internet para el sistema de gestión de contenido de WordPress. Regula la copia de seguridad de datos para Dropbox, Google Drive, Amazon S3 y otros servicios en la nube. Sus desarrolladores afirman que permite a los usuarios programar copias de seguridad periódicas y utiliza menos recursos del servidor que los complementos de WordPress rápidos y de la competencia.

«Este error es muy fácil de explotar, con algunas consecuencias negativas si se explota», dijo Mark Montpas, un investigador de seguridad que informó personalmente a los desarrolladores del complemento sobre la vulnerabilidad. “Hace posible que los usuarios con pocos privilegios descarguen copias de seguridad del sitio, incluidas las bases de datos de copia de seguridad. Las cuentas de oferta baja pueden significar muchas cosas. Suscriptores habituales, clientes (por ejemplo, en sitios de comercio electrónico). «

READ  Tom Brady dice que sus pensamientos están en los playoffs de Tampa Bay Buchanan, no en su propio futuro

Montbos, investigador del Internet Security Institute Escaneo de retrocesoDijo que detectó la vulnerabilidad durante una auditoría de seguridad del complemento y proporcionó detalles a los desarrolladores de UpdraftPlus el martes. Un día después, los desarrolladores publicaron un error y acordaron hacer obligatorio instalar el complemento en los sitios de WordPress.

Estadísticas proporcionadas por WordPress.org Show El jueves, 1,7 millones de sitios recibieron actualizaciones y más de 287.000 personas lo instalaron en el momento de la publicación. WordPress dice que el complemento tiene 3 millones de usuarios.

En un comunicado el jueves, UpdraftPlus dijo: Escribió:

Esta vulnerabilidad permite que cualquier usuario que inicie sesión en una instalación activa de WordPress de UpdraftPlus ejerza el privilegio de descargar una copia de seguridad existente, que debe estar restringida solo a los usuarios administradores. Esto es posible porque no hay permisos en el código relacionados con la verificación del estado actual de la copia de seguridad. Esto le permitió obtener un identificador interno, de lo contrario, sería anónimo y podría usarse para enviar un cheque por permiso de descarga.

Esto significa que si su sitio de WordPress permite que los usuarios poco confiables obtengan el inicio de sesión de WordPress, y tiene una copia de seguridad, puede ser vulnerable a los usuarios técnicamente competentes que descubren cómo descargar una copia de seguridad existente. Si su sitio contiene algo que no es público, los sitios afectados pueden correr el riesgo de pérdida o robo de datos si el atacante accede a una copia de respaldo de su sitio. Digo «técnicamente competente» porque en ese momento no se creó ninguna evidencia general de cómo explotar esto. Por el momento, se basa en la ingeniería inversa del hacker para implementar cambios en la última versión de UpdraftPlus. Sin embargo, definitivamente no debe confiar en esto durante mucho tiempo, sino actualizar de inmediato. Si usted es el único usuario en su sitio de WordPress, o todos sus usuarios son de confianza, no se verá afectado, pero le recomendamos que actualice en cualquier caso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *