Skip to main content

Esta vulnerabilidad puede dejar tu WordPress sin contenido

Una peligrosa vulnerabilidad quedó al descubierto en WordPress, ya que el equipo de WebARX informó que un plugin estaba accediendo a cuentas con permisos de administrador y borraba el contenido de un sitio bajo este CMS.

El plugin en cuestión es ThemeGrill Demo Importer, que tiene miles de plantillas de diseño personalizado y que cuenta con aproximadamente un millón y medio de descargas.

Recommended Videos

Si bien se informa que el bug fue resuelto y parchado, se recomienda a los usuarios de WordPress que tengan instalado este plugin instalar la versión 1.6.3 del CMS.

¿Cómo se activa este malware? Se da en las versiones que van desde la 1.3.4 a la 1.6.1 de este plugin, y principalmente el fallo permite a un atacante remoto y sin necesidad de autenticarse, borrar una base de datos completa (publicaciones, páginas, comentarios, nombres de usuarios, contraseñas, etc.) y llevarla a la configuración por defecto.

Luego de eso el atacante quedará registrado con permisos de administrador, ya que al llevar la cuenta de WordPress a la configuración por defecto se habrá creado un usuario con el nombre “admin”.

Para lograr el ataque, el único requisito adicional es que el sitio tenga instalado una plantilla de ThemeGrill y tener también instalado el plugin vulnerable.

La gente de WebARX publicó un cronograma de cómo se dieron los ataques:

  • 06-02-2020 – Descubrimiento del problema y lanzamiento de un parche para todos los clientes de WebARX.
  • 06-02-2020 : informó el problema al desarrollador del complemento.
  • 11-02-2020 – Segundo intento de contactar al desarrollador.
  • 14-02-2020 : correo electrónico recibido del desarrollador, reenviado el problema.
  • 16-02-2020 – El desarrollador publicó una nueva versión que soluciona el problema.

Por otro lado, el mismo sitio de seguridad apuntó que no hay que confiarse de que con el parche está todo resuelto, ya que «los atacantes a menudo supervisan los registros de cambios de complementos para detectar correcciones de errores de seguridad y comparar diferentes versiones para ver qué se corrigió. Esto permite que los atacantes actúen antes de que los usuarios hayan actualizado el complemento. Por eso es muy importante actualizar los complementos lo más rápido posible»

WebARX además apuntó que, «hemos estado monitoreando de cerca la vulnerabilidad de ThemeGrill Demo Importer y hemos visto esta vulnerabilidad explotada desde el lanzamiento del parche. WebARX ha bloqueado más de 16,000 ataques contra esta vulnerabilidad desde el 16 de febrero».

Topics
Diego Bastarrica
Diego Bastarrica es periodista y docente de la Universidad Diego Portales de Chile. Especialista en redes sociales…
El Samsung Galaxy S25 Edge ya tiene precio y almacenamientos
Samsung Galaxy S25 Edge

Aunque el lanzamiento del Samsung Galaxy S25 Edge estaba previsto para mediados de abril, se adelantó unas semanas, y el último rumor apuntaba a un anuncio del 13 de mayo en Corea. Solo un día después de que nos enteramos de eso, nos enteramos del precio oficial y las opciones de almacenamiento del Galaxy S25 Edge, y la filtración no proviene de un tercero, sino del propio Samsung.

El sitio web canadiense de Samsung enumeró brevemente los precios de las variantes de 256 GB y 521 GB del Galaxy S25 Edge como parte de una promoción para las tabletas Galaxy S10FE recientemente lanzadas. La página web, capturada por el filtrador de confianza Roland Quandt, muestra lo que podría ser el MSRP oficial del próximo teléfono delgado. Quandt compartió la captura de pantalla en Bluesky, una plataforma de redes sociales creada para replicar lo que solía ser Twitter antes de que Elon Musk la comprara y la rebautizara como X.

Leer más
OnePlus 13T es oficial: todo lo que debes saber
OnePlus 13T

Después de una larga espera llena de filtraciones y rumores, el OnePlus 13T ha hecho oficialmente su debut en China. Es una alternativa más pequeña y compacta a la línea principal de OnePlus 13 y, a pesar de las suposiciones iniciales, se llama 13T, no OnePlus 13 Mini. Es un teléfono más pequeño para aquellos que prefieren los dispositivos sutiles a los destructores de bolsillo, pero eso no significa que carezca de potencia.

A diferencia de dispositivos como el ahora desaparecido iPhone Mini, el OnePlus 13T no sacrifica la potencia por el tamaño. Actualmente solo está disponible en China, pero hay esperanzas de un lanzamiento global. Aquí tienes todo lo que necesitas saber sobre la última computadora de mano de OnePlus.

Leer más
Sydney Sweeney protagonizará la película del videojuego Split Fiction
Sydney Sweeney

A principios de esta semana, Sydney Sweeney firmó para producir la adaptación del videojuego OutRun de Sega con Michael Bay como director. Ahora, según los informes, Sweeney se ha unido a otra adaptación de videojuego como productor y estrella.

Según Variety, Sweeney se ha unido al elenco de Split Fiction, el exitoso videojuego que se lanzó hace poco menos de dos meses. La historia del juego se centra en una aspirante a escritora de ciencia ficción, Mio Hudson, y una escritora de fantasía llamada Zoe Foster, quienes están invitados a participar en una demostración de simulación experimental. Cuando Mio es empujada accidentalmente a la simulación de Zoe, ambas mujeres quedan atrapadas en la simulación que se basa en las historias de sus mentes. Y tienen que trabajar juntos para encontrar una salida. La historia de Variety no especifica qué personaje interpretará Sweeney, pero hay espacio para otra actriz prominente en la parte superior de la hoja de llamadas a su lado.

Leer más