Skip to main content
  1. Home
  2. Computación
  3. Noticias
  4. News

Error de WordPress deja casi 2 millones de sitios vulnerables

Add as a preferred source on Google

Una falla en dos complementos personalizados de WordPress deja a los usuarios vulnerables a ataques de secuencias de comandos entre sitios (XSS), según un informe reciente.

Investigador de Patchstack Rafie Muhammad descubrió recientemente una falla XSS en los complementos Advanced Custom Fields y Advanced Custom Fields Pro, que son instalados activamente por más de 2 millones de usuarios en todo el mundo, según Bleeping Computer.

Recommended Videos

La falla, llamada CVE-2023-30777 fue descubierta el 2 de mayo y se le dio una prominencia de alta gravedad. El desarrollador de los complementos, WP Engine, proporcionó rápidamente una actualización de seguridad, la versión 6.1.6, a los pocos días de enterarse de la vulnerabilidad, el 4 de mayo.

Un celular con el logo de WordPress.
Getty Images

Los populares creadores de campos personalizados permiten a los usuarios tener un control total de su sistema de gestión de contenido desde el back-end, con pantallas de edición de WordPress, datos de campo personalizados y otras características.

Sin embargo, los errores XSS se pueden ver de manera frontal y funcionan inyectando «scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante», agregó Bleeping Computer.

Esto podría dejar a los visitantes del sitio web abiertos a que sus datos sean robados de los sitios infectados de WordPress, señaló Patchstack.

Los detalles sobre la vulnerabilidad XSS indican que podría desencadenarse por una «instalación o configuración predeterminada del complemento Advanced Custom Fields». Sin embargo, los usuarios tendrían que tener acceso de inicio de sesión al complemento Advanced Custom Fields para activarlo en primer lugar, lo que significa que un mal actor tendría que engañar a alguien con acceso para desencadenar la falla, agregaron los investigadores.

La falla CVE-2023-30777 se puede encontrar en el controlador de funciones admin_body_class, en el que un mal actor puede inyectar código malicioso. En particular, este error inyecta cargas útiles DOM XSS en el código redactado incorrectamente, que no es capturado por la salida de saneamiento del código, una especie de medida de seguridad, que es parte de la falla.

La corrección en la versión 6.1.6 introdujo el gancho admin_body_class, que bloquea la ejecución del ataque XSS.

Los usuarios de Advanced Custom Fields y Advanced Custom Fields Pro deben actualizar los plug-ins a la versión 6.1.6 o posterior. Muchos usuarios siguen siendo susceptibles a los ataques, con aproximadamente el 72,1% de WordPress.org usuarios de plug-ins que tienen versiones inferiores a 6.1. Esto hace que sus sitios web sean vulnerables no solo a los ataques XSS sino también a otras fallas en la naturaleza, dijo la publicación.

Diego Bastarrica
Diego Bastarrica es Senior Editor y Head of Content en Digital Trends en Español, donde lidera la estrategia editorial, SEO…
OpenAI ofrecería al gobierno de EE.UU. una participación del 5%
Sam Altman

OpenAI propuso entregar al gobierno de Estados Unidos una participación accionaria del 5% en la compañía, según reveló el Financial Times este jueves. Dicha porción equivaldría a unos USD 42,600 millones, tomando como referencia la valorización de USD 852,000 millones que alcanzó la empresa tras su ronda de financiamiento de marzo.

El director ejecutivo Sam Altman planteó que otorgar al público un interés financiero directo en la compañía sería la mejor manera de compartir los beneficios derivados de la inteligencia artificial. La propuesta, discutida en etapas preliminares con la administración Trump, contemplaría que Washington reciba un 5% de cada uno de los principales desarrolladores estadounidenses de IA a través de un vehículo gubernamental similar a un fondo soberano.

Read more
Las reseñas engañosas de IA de TripAdvisor pueden arruinar tu viaje
Computer, Electronics, Laptop

Planificar un viaje ya es bastante estresante sin preguntarse si el resumen tan brillante del hotel que acabas de leer fue escrito por una IA que se saltó las partes aterradoras. Resulta que eso podría ser exactamente lo que está ocurriendo en TripAdvisor.

Según una investigación del grupo de consumidores Which?, informada por The Guardian, los resúmenes de reseñas generados por IA por TripAdvisor están suavizando quejas graves de los huéspedes y, en algunos casos, incluso peligrosas.

Read more
Ventas de PC caen en su máximo histórico en los últimos 3 años
Computer Hardware, Electronics, Hardware

Las ventas de computadoras nuevas en Estados Unidos registraron su descenso más pronunciado en casi tres años, una tendencia que los analistas atribuyen directamente al encarecimiento sostenido de los chips de memoria y almacenamiento. De acuerdo con la consultora Omdia, los envíos cayeron a 15,8 millones de unidades durante el primer trimestre de 2026, lo que representa una baja del 7% respecto al mismo período del año anterior y constituye la contracción trimestral más severa desde el tercer trimestre de 2023.

El fenómeno no es exclusivo del mercado estadounidense. Diversos análisis recientes coinciden en que la fuerte demanda de componentes destinados a infraestructura de inteligencia artificial ha disparado los precios de la memoria RAM y las unidades de almacenamiento SSD a nivel global, encareciendo notoriamente el ensamblaje de equipos completos. Según estimaciones de Omdia, entre el primer trimestre de 2025 y la actualidad, el costo de las configuraciones principales de memoria y almacenamiento se ha incrementado entre 90 y 165 dólares por equipo.

Read more