Categorías
Noticias

Plugin de WordPress con error de seguridad

Uno de los temas comerciales por ThemeGrill posee un error de seguridad entre sus plugin de WordPress. Se le recomienda a los usuarios con este tema actualizar el complemento para corregir un error crítico que puede permitir atacantes borrar sus sitios.

La vulnerabilidad reside en ThemeGrill Demo Importer, un complemento que se incluye con los temas vendidos por ThemeGrill, una empresa de desarrollo web que vende temas comerciales de WordPress. El complemento permite a los propietarios de sitios importar contenido de demostración dentro de sus temas ThemeGrill. Proveyendo ejemplos de los temas para tener ideas sobre la base de la página.

Sin embargo, en un informe publicado ayer, la firma de seguridad de WordPress WebARX dice que las versiones anteriores de ThemeGrill Demo Importer son vulnerables a ataques remotos de atacantes no autenticados. Los hackers remotos pueden enviar una carga útil y activar una función dentro del complemento. La función vulnerable restablece el contenido del sitio a cero, eliminando efectivamente el contenido de todos los sitios de WordPress que posea el tema.

Además, si la base de datos del sitio contiene un usuario llamado «admin», el atacante tiene acceso a ese usuario con todos los derechos de administrador sobre el sitio. WebARX dice que la vulnerabilidad afecta a todas las versiones del plugin de WordPress entre la versión 1.3.4 y 1.6.1. El desarrollador del complemento, corrigió el error y lanzó la versión 1.6.2 durante el fin de semana.

No es el único caso de esto

Este es el segundo error en un complemento de WordPress que se reveló este año que puede permitir a los atacantes borrar las bases de datos del sitio. El mes pasado, el equipo de Wordfence reveló un problema similar en el complemento WP Database Reset, instalado en más de 80,000 sitios.

Pero, no se alarmen. Esto no significa que WordPress en sea peligroso o que su comunidad lo sea. WordPress tiene una de las comunidades más extensas para development en el mundo y cada vez que errores como estos ocurren alguien va a ayudar a inmediatamente corregirlo.

Vía Zdnet.