Skip to main content

Error de WordPress deja casi 2 millones de sitios vulnerables

Una falla en dos complementos personalizados de WordPress deja a los usuarios vulnerables a ataques de secuencias de comandos entre sitios (XSS), según un informe reciente.

Investigador de Patchstack Rafie Muhammad descubrió recientemente una falla XSS en los complementos Advanced Custom Fields y Advanced Custom Fields Pro, que son instalados activamente por más de 2 millones de usuarios en todo el mundo, según Bleeping Computer.

La falla, llamada CVE-2023-30777 fue descubierta el 2 de mayo y se le dio una prominencia de alta gravedad. El desarrollador de los complementos, WP Engine, proporcionó rápidamente una actualización de seguridad, la versión 6.1.6, a los pocos días de enterarse de la vulnerabilidad, el 4 de mayo.

Un celular con el logo de WordPress.
Getty Images

Los populares creadores de campos personalizados permiten a los usuarios tener un control total de su sistema de gestión de contenido desde el back-end, con pantallas de edición de WordPress, datos de campo personalizados y otras características.

Sin embargo, los errores XSS se pueden ver de manera frontal y funcionan inyectando «scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante», agregó Bleeping Computer.

Esto podría dejar a los visitantes del sitio web abiertos a que sus datos sean robados de los sitios infectados de WordPress, señaló Patchstack.

Los detalles sobre la vulnerabilidad XSS indican que podría desencadenarse por una «instalación o configuración predeterminada del complemento Advanced Custom Fields». Sin embargo, los usuarios tendrían que tener acceso de inicio de sesión al complemento Advanced Custom Fields para activarlo en primer lugar, lo que significa que un mal actor tendría que engañar a alguien con acceso para desencadenar la falla, agregaron los investigadores.

La falla CVE-2023-30777 se puede encontrar en el controlador de funciones admin_body_class, en el que un mal actor puede inyectar código malicioso. En particular, este error inyecta cargas útiles DOM XSS en el código redactado incorrectamente, que no es capturado por la salida de saneamiento del código, una especie de medida de seguridad, que es parte de la falla.

La corrección en la versión 6.1.6 introdujo el gancho admin_body_class, que bloquea la ejecución del ataque XSS.

Los usuarios de Advanced Custom Fields y Advanced Custom Fields Pro deben actualizar los plug-ins a la versión 6.1.6 o posterior. Muchos usuarios siguen siendo susceptibles a los ataques, con aproximadamente el 72,1% de WordPress.org usuarios de plug-ins que tienen versiones inferiores a 6.1. Esto hace que sus sitios web sean vulnerables no solo a los ataques XSS sino también a otras fallas en la naturaleza, dijo la publicación.

Recomendaciones del editor

Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Los ruidos en la PC que son motivo de advertencia
Una computadora de escritorio con Windows 10.

Para nadie debería ser novedad que las PC hacen ruido, a veces mucho, a veces poco. Y es que los enormes ventiladores o sistemas de enfriamiento necesarios para mantener tu PC por debajo de los 90 grados invariablemente harán ruido. Sin embargo, hay algunos ruidos en la PC que pueden ser motivo de advertencia de que quizá algo anda o esté por acabar mal. Aquí te decimos cuáles son, te mostramos cómo suenan y qué podrías hacer para solucionarlos.
El quejido o coil whine
Este ruido es bastante común en tarjetas gráficas o fuentes de alimentación. Se origina por las bobinas de algunos componentes de PC de alto consumo eléctrico, y no necesariamente significa un problema, sin embargo, si lo detectas cuando tu PC tiene poca carga de trabajo, quizá se deba a componentes de baja calidad.

Insane 3090 FE coil whine

Leer más
Botón derecho en Mac: todas las opciones que existen para activarlo
boton derecho en mac magic mouse apple

Finalmente te decidiste a hacer el cambio a Mac, y todo iba muy bien... hasta que llegó el momento de hacer un clic con el botón derecho y te quedaste congelado. ¡No hay botón derecho! ¿O sí lo hay? ¿Dónde está?
Te va a interesar:

Cómo desactivar las notificaciones en una Mac
Cómo hacer una captura de pantalla en un Mac
Cómo forzar el cierre de un programa en Mac

Leer más
Estos son los mejores programas gratuitos para editar fotos
Estos son los mejores programas gratuitos para editar fotos.

Las aplicaciones profesionales de edición de fotos no son baratas ni fáciles de dominar sin cierta formación. La buena noticia es que no son pocos los software de edición de fotos gratuitos disponibles en el mercado.

Nuestro favorito es GIMP, un software de edición de fotos de código abierto disponible para los tres grandes sistemas operativos. Ofrece un enorme espacio de trabajo y una amplia variedad de herramientas de edición profesional.

Leer más