Se han descubierto nuevas vulnerabilidades en varios plugins de WordPress que, de ser explotados, permitirÃan al atacante ejecutar código aleatorio y hacerse con el control de los sitios web afectados.
Se han descubierto fallos en Elementor y WP Super Cache, siendo el primero utilizado en más de siete millones de páginas. Elementor presenta una serie de vulnerabilidades XSS, que tienen un CVSS equivalente a 6.4. Estos fallos permiten que un script malicioso se inyecte directamente en la aplicación vulnerable. La falta de validación de los tags HTML en el lado del servidor hace posible que un atacante explote estos fallos para añadir código JavaScript ejecutable en publicaciones del sitio o páginas a través de una petición personalizada.
En un comunicado técnico hecho por Wordfence se explicaba lo siguiente:
"Debido a que las entradas creadas por colaboradores son normalmente revisadas por editores o administradores antes de ser publicadas, cualquier JavaScript añadido a una de esas entradas podrÃa ser ejecutado en el navegador de quien la revisa."
"Si un administrador revisara el contenido con el código JavaScript malicioso, su sesión autenticada con privilegios altos podrÃa ser usada para poder crear un nuevo usuario administrador, o para añadir una puerta trasera al sitio. Un ataque que explote esta vulnerabilidad podrÃa dar lugar a la toma de control del sitio por el atacante."
Debido a la estructura y forma de programación de sitios web con WordPress se recomienda mantener constantemente el monitoreo de virus, revisión de editores asà como actualizado el código para prevenir ataques.
Soporte Tecnico VIP
Software, Licencias, Asesoria, etc.