Home Sociedad Un error crítico en el plugin temático de WordPress, abrió 200.000 sitios...

Un error crítico en el plugin temático de WordPress, abrió 200.000 sitios a los piratas informáticos

Un popular plugin temático de WordPress con más de 200.000 instalaciones activas contiene una vulnerabilidad de software grave pero fácil de explotar que, si se deja sin parches, podría permitir que los atacantes remotos no autenticados comprometan una amplia gama de sitios web y blogs.

El plugin vulnerable en cuestión es “ThemeGrill Demo Importer” que viene con temas gratuitos y premium vendidos por la compañía de desarrollo de software ThemeGrill.

El plugin ha sido diseñado para permitir a los administradores de sitios de WordPress importar contenido de demostración, widgets y configuraciones de ThemeGrill, facilitándoles la rápida

Según un informe que la empresa de seguridad WebARX, cuando se instala y se activa un tema de ThemeGrill, el plugin afectado ejecuta algunas funciones con privilegios administrativos sin comprobar si el usuario que ejecuta el código está autenticado y es un administrador.

El fallo podría permitir eventualmente a los atacantes remotos no autenticados borrar toda la base de datos de los sitios web objetivo a su estado predeterminado, tras lo cual también se conectarán automáticamente como administrador, lo que les permitirá tener un control total sobre los sitios.

“Esta es una seria vulnerabilidad y puede causar una cantidad significativa de daño. Dado que no requiere una carga útil de aspecto sospechoso, no se espera que ningún cortafuegos bloquee esto por defecto, y es necesario crear una regla especial para bloquear esta vulnerabilidad”, dijeron los investigadores de WebARX.

WebARX, que proporciona software de detección de vulnerabilidades y parches virtuales para proteger los sitios web de fallas de los componentes de terceros, informó responsablemente de esta vulnerabilidad a los desarrolladores de ThemeGrill hace dos semanas, quienes luego publicaron una versión parcheada 1.6.2, el 16 de febrero.

El panel de control de WordPress notifica automáticamente a los administradores cuando un plugin necesita ser actualizado, pero también puedes elegir tener las actualizaciones de los plugins instaladas automáticamente en lugar de esperar a la acción manual.

Con información de: The Hacker News.