Skip to main content

Error de WordPress deja casi 2 millones de sitios vulnerables

Una falla en dos complementos personalizados de WordPress deja a los usuarios vulnerables a ataques de secuencias de comandos entre sitios (XSS), según un informe reciente.

Investigador de Patchstack Rafie Muhammad descubrió recientemente una falla XSS en los complementos Advanced Custom Fields y Advanced Custom Fields Pro, que son instalados activamente por más de 2 millones de usuarios en todo el mundo, según Bleeping Computer.

La falla, llamada CVE-2023-30777 fue descubierta el 2 de mayo y se le dio una prominencia de alta gravedad. El desarrollador de los complementos, WP Engine, proporcionó rápidamente una actualización de seguridad, la versión 6.1.6, a los pocos días de enterarse de la vulnerabilidad, el 4 de mayo.

Un celular con el logo de WordPress.
Getty Images

Los populares creadores de campos personalizados permiten a los usuarios tener un control total de su sistema de gestión de contenido desde el back-end, con pantallas de edición de WordPress, datos de campo personalizados y otras características.

Sin embargo, los errores XSS se pueden ver de manera frontal y funcionan inyectando «scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante», agregó Bleeping Computer.

Esto podría dejar a los visitantes del sitio web abiertos a que sus datos sean robados de los sitios infectados de WordPress, señaló Patchstack.

Los detalles sobre la vulnerabilidad XSS indican que podría desencadenarse por una «instalación o configuración predeterminada del complemento Advanced Custom Fields». Sin embargo, los usuarios tendrían que tener acceso de inicio de sesión al complemento Advanced Custom Fields para activarlo en primer lugar, lo que significa que un mal actor tendría que engañar a alguien con acceso para desencadenar la falla, agregaron los investigadores.

La falla CVE-2023-30777 se puede encontrar en el controlador de funciones admin_body_class, en el que un mal actor puede inyectar código malicioso. En particular, este error inyecta cargas útiles DOM XSS en el código redactado incorrectamente, que no es capturado por la salida de saneamiento del código, una especie de medida de seguridad, que es parte de la falla.

La corrección en la versión 6.1.6 introdujo el gancho admin_body_class, que bloquea la ejecución del ataque XSS.

Los usuarios de Advanced Custom Fields y Advanced Custom Fields Pro deben actualizar los plug-ins a la versión 6.1.6 o posterior. Muchos usuarios siguen siendo susceptibles a los ataques, con aproximadamente el 72,1% de WordPress.org usuarios de plug-ins que tienen versiones inferiores a 6.1. Esto hace que sus sitios web sean vulnerables no solo a los ataques XSS sino también a otras fallas en la naturaleza, dijo la publicación.

Recomendaciones del editor

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Google presenta Gemini: su respuesta más poderosa a GPT-4
google gemini

El área de investigación Google DeepMind acaba de lanzar el competidor más poderoso hasta la fecha del popular estándar GPT-4, ya que presentó Google Gemini, su modelo de lenguaje grande más grande y más capaz hasta la fecha. A partir de hoy, el chatbot Bard de la compañía funcionará con una versión de Gemini y estará disponible en inglés en más de 170 países y territorios. Los desarrolladores y clientes empresariales tendrán acceso a Gemini a través de API la próxima semana, y una versión más avanzada estará disponible el próximo año.

¿Google dice que el rendimiento de su modelo más capaz "supera los resultados actuales de última generación en 30 de los 32 puntos de referencia académicos ampliamente utilizados en investigación y desarrollo de LLM". Gemini también obtuvo una puntuación del 90,0% en una prueba conocida como " Comprensión masiva del lenguaje multitarea " o MMLU, que evalúa las capacidades en 57 materias, incluidas matemáticas, física, historia y medicina. Es el primer LLM que se desempeña mejor que los expertos humanos en la prueba, dijo Google.

Leer más
Cómo descargar Microsoft Office gratis (ahora Microsoft 365)
Cómo descargar Microsoft Office gratis (ahora Microsoft 365).

Es la dura realidad: Microsoft Office (ahora conocida como Office 365) está disponible a diferentes precios, ninguno de ellos precisamente “económico”. Las escasas versiones independientes de esta suite rondan los $150 dólares, mientras que las suscripciones te costarán $70 dólares al año (o más, según para qué lo necesites).

Hay algunas muy buenas alternativas gratuitas a esta suite, aunque la buena noticia es que (aún) existen formas de obtener Microsoft 365 sin costo. No son muchas: pero algo es mejor que nada.

Leer más
¿Tienes Windows 10? tendrás que pagar actualizaciones de seguridad
Cómo dividir la pantalla en Windows 10.

Si eres de los usuarios más fieles de Microsoft que aún utilizan Windows 10, entonces esta noticia te resultará útil, ya que es muy seguro que la compañía fundada por Bill Gates desde ahora te cobre por las actualizaciones de seguridad.

El asunto es así:

Leer más