Skip to main content
  1. Casa
  2. Computación

Error de WordPress deja casi 2 millones de sitios vulnerables

Por

Una falla en dos complementos personalizados de WordPress deja a los usuarios vulnerables a ataques de secuencias de comandos entre sitios (XSS), según un informe reciente.

Investigador de Patchstack Rafie Muhammad descubrió recientemente una falla XSS en los complementos Advanced Custom Fields y Advanced Custom Fields Pro, que son instalados activamente por más de 2 millones de usuarios en todo el mundo, según Bleeping Computer.

Recommended Videos

La falla, llamada CVE-2023-30777 fue descubierta el 2 de mayo y se le dio una prominencia de alta gravedad. El desarrollador de los complementos, WP Engine, proporcionó rápidamente una actualización de seguridad, la versión 6.1.6, a los pocos días de enterarse de la vulnerabilidad, el 4 de mayo.

Un celular con el logo de WordPress.
Getty Images

Los populares creadores de campos personalizados permiten a los usuarios tener un control total de su sistema de gestión de contenido desde el back-end, con pantallas de edición de WordPress, datos de campo personalizados y otras características.

Related

Sin embargo, los errores XSS se pueden ver de manera frontal y funcionan inyectando «scripts maliciosos en sitios web vistos por otros, lo que resulta en la ejecución de código en el navegador web del visitante», agregó Bleeping Computer.

Esto podría dejar a los visitantes del sitio web abiertos a que sus datos sean robados de los sitios infectados de WordPress, señaló Patchstack.

Los detalles sobre la vulnerabilidad XSS indican que podría desencadenarse por una «instalación o configuración predeterminada del complemento Advanced Custom Fields». Sin embargo, los usuarios tendrían que tener acceso de inicio de sesión al complemento Advanced Custom Fields para activarlo en primer lugar, lo que significa que un mal actor tendría que engañar a alguien con acceso para desencadenar la falla, agregaron los investigadores.

La falla CVE-2023-30777 se puede encontrar en el controlador de funciones admin_body_class, en el que un mal actor puede inyectar código malicioso. En particular, este error inyecta cargas útiles DOM XSS en el código redactado incorrectamente, que no es capturado por la salida de saneamiento del código, una especie de medida de seguridad, que es parte de la falla.

La corrección en la versión 6.1.6 introdujo el gancho admin_body_class, que bloquea la ejecución del ataque XSS.

Los usuarios de Advanced Custom Fields y Advanced Custom Fields Pro deben actualizar los plug-ins a la versión 6.1.6 o posterior. Muchos usuarios siguen siendo susceptibles a los ataques, con aproximadamente el 72,1% de WordPress.org usuarios de plug-ins que tienen versiones inferiores a 6.1. Esto hace que sus sitios web sean vulnerables no solo a los ataques XSS sino también a otras fallas en la naturaleza, dijo la publicación.

Recomendaciones del editor

Topics
Diego Bastarrica
Diego Bastarrica
News Editor
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
Microsoft está eliminando la VPN gratis de Office 365
microsoft esta eliminando la vpn gratis de office 365

Microsoft

En un documento de soporte, Microsoft anunció el fin de una función de VPN gratuita semanas después de subir los precios de su suscripción mensual por primera vez en 12 años. La eliminación de la VPN gratuita en Microsoft 365, que usaba la aplicación Defender para ocultar direcciones IP y cifrar el tráfico de Internet, está programada para el 28 de febrero de este año para que Microsoft pueda cambiar sus prioridades.
Microsoft explicó por qué está eliminando la herramienta diciendo: "Nuestro objetivo es asegurarnos de que usted y su familia permanezcan más seguros en línea. Evaluamos rutinariamente el uso y la eficacia de nuestras funciones. Como tal, estamos eliminando la función de protección de la privacidad e invertiremos en nuevas áreas que se alineen mejor con las necesidades del cliente". Entonces, el gigante del software eliminó la función para invertir sus esfuerzos en otra parte.
Microsoft confirma que los suscriptores de EE. UU. aún tendrán acceso a la protección de datos y dispositivos, protección contra robo de identidad, monitoreo de crédito y alertas de amenazas continuas para la seguridad en línea. Sin embargo, Microsoft impuso un límite de datos mensual de 50 GB y conectó la VPN a una región local, lo que socavó su propósito principal de proporcionar acceso sin restricciones.
Con el aumento de precio de $ 3 para las suscripciones Personal y Familiar y la eliminación de la VPN, los suscriptores potenciales podrían considerar su decisión. Pero si sabe cómo obtener Microsoft Office gratis, puede ver si la suscripción vale la pena. Por ahora, nos despedimos de una función gratuita que Microsoft introdujo en 2023, que proporcionaba a los usuarios un túnel VPN para un acceso web seguro. Tendremos que esperar y ver qué otros cambios tiene Microsoft reservados para los suscriptores.

Leer más
¿Cómo instalar Chrome OS Flex?
Una imagen de Chrome OS Flex.

Chrome OS Flex es un sistema operativo de Google que inicialmente fue pensado para la arquitectura de los Chromebook, pero que en los últimos años ha sido adaptado para poderse instalar en computadoras Windows.

Chrome OS Flex es una alternativa perfecta si tienes una computadora antigua, especialmente una laptop en la que la duración de la batería suele ser un auténtico dolor de cabeza. Y es que, al igual que Chrome OS, Chrome OS Flex optimiza los recursos de tal forma que la batería logra una duración excepcional.

Leer más
Por fin tenemos buenas noticias sobre la RX 9070 XT de AMD
AMD GPU

AMD anunció su próxima tarjeta gráfica, la RX 9070 XT, el mes pasado, pero los detalles sobre la GPU han sido escasos. Sin embargo, es posible que finalmente tengamos buenas noticias para compartir. Según VideoCardz, AMD tiene previsto celebrar una conferencia de prensa a finales de este mes en la que se detallará la arquitectura RDNA 4 y el rendimiento que podemos esperar de la próxima GPU de AMD.
Aunque sabemos desde hace tiempo que AMD concedería la batalla de los buques insignia a Nvidia frente a la RTX 5090, Team Red fue particularmente ligero en detalles cuando anunció la RX 9070 XT. La compañía ni siquiera compartió las especificaciones de la nueva tarjeta, sino que dejó que los socios de la junta completaran los detalles faltantes. Luego, se informó que la tarjeta se retrasó. AMD originalmente nos dijo que se lanzaría en cuestión de "semanas", solo para retroceder y apuntar hacia un lanzamiento en marzo más tarde.
VideoCardz dice que la actualización llega a través del medio chino Benchlife, aunque no pudimos encontrar la historia original que cita VideoCardz. Según los informes, el medio apuntó hacia un evento de arquitectura para RDNA 4 a fines de febrero, tal vez preparándose para una fecha de lanzamiento en marzo que AMD ha adelantado.
Aunque AMD no ha confirmado nada públicamente, tendría sentido que la compañía realizara un evento en esta época. Nvidia lanzará sus tarjetas gráficas RTX 5070 Ti y RTX 5070 este mes, y AMD podría inclinar su evento para robarle algo de protagonismo al Equipo Verde. También sería una gran oportunidad para que AMD detallara su arquitectura RDNA 4. Hemos aprendido sobre las especificaciones de estas tarjetas de los socios de la placa, pero AMD aún no ha compartido ningún detalle sobre la arquitectura en sí.
Independientemente de cuándo o si AMD realiza un evento, los próximos meses se están calentando para el mundo de las mejores tarjetas gráficas. Tanto AMD como Nvidia tienen dos nuevas GPU en camino, y es probable que todas ellas compitan en rendimiento por el mismo precio. Con suerte, los compradores ganan cuando aparecen las cartas para que no se repita la decepción que vimos con la reciente RTX 5080 de Nvidia.

Leer más