Millones de sitios de WordPress reciben un parche forzado por un defecto crítico del plugin

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Millones de sitios de WordPress han recibido un parche forzado en los últimos días, según ha informado Ars Technica. El motivo es una vulnerabilidad en UpdraftPlus, un popular plugin que permite a los usuarios crear y restaurar copias de seguridad de sitios web. Los desarrolladores de UpdraftPlus solicitaron el parche obligatorio, ya que la vulnerabilidad permitiría a cualquier persona con una cuenta descargar toda la base de datos de un sitio web.

El fallo fue descubierto por el investigador de seguridad de Jetpack Marc Montpas durante una auditoría de seguridad del plugin. “Este fallo es bastante fácil de explotar, con algunos resultados muy malos si se explota”, dijo a Ars Technica. “Hizo posible que los usuarios con pocos privilegios pudieran descargar las copias de seguridad de un sitio, que incluyen copias de seguridad de la base de datos sin procesar”.

Informó a los desarrolladores de UpdraftPlus sobre el fallo el martes de la semana pasada, lo arreglaron un día después y empezaron a forzar la instalación del parche poco después. Hasta el jueves, 1,7 millones de sitios lo habían recibido, de un total de más de 3 millones de usuarios.

El principal fallo era que UpdraftPlus no implementaba correctamente la función “hearbeat” de WordPress, comprobando adecuadamente si los usuarios tenían privilegios administrativos. Otro problema era una variable utilizada para validar a los administradores que podía ser modificada por usuarios no confiables. Jetpack proporcionó más detalles sobre cómo podría funcionar un hackeo en una publicación del blog.

WordPress ya fue vulnerado a principios de este año, pero lo hizo de forma indirecta a través de un hackeo de GoDaddy que expuso 1,2 millones de cuentas. Si utilizas WordPress con el plugin UpdraftPlus, deberías confirmar que el plugin se ha actualizado automáticamente a la versión 1.22.4 o posterior en la versión gratuita, o a la 2.22.4 y superior en la aplicación premium.

Con información de Europa Press.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *