Recientemente fue descubierta y reportada una vulnerabilidad por un investigador de seguridad que afecta a más de 2 millones de sitios web basados en WordPress que utilizan el plugin de caché llamado WP Super Cache, uno de los más populares de la plataforma.
Productos afectado:
- WP Super Cache version 1.7.1 y anteriores
¿Qué sucedió?
En un test de seguridad realizado al CMS WordPress y sus complementos se descubrió la vulnerabilidad en WP Super Cache, un problema que podría permitir a un atacante cargar y ejecutar código malicioso.
La ejecución de código remoto autenticado (RCE) suele permitir que otra persona cargue y ejecute código PHP que luego permite instalar puertas traseras, acceder y realizar cambios en la base de datos, así como conseguir ser administrador del sitio.
Para que esto ocurra el atacante debe registrarse primero en la web, algo muy común en los sitios en los que hay una sección de registro, para obtener acceso a páginas privadas. O basta con que tenga nivel de suscriptor para que el problema sea visible, de forma que cualquier suscriptor podría transformarse en administrador y obtener el control del sitio web afectado.
Recomendaciones
- Actualizar lo antes posible WP Super Cache a la última versión disponible.
- Actualice desde su panel de administrador accediendo: >> plugin >> Plugin instalados >> Actualizar o.
- Descargar la última versión 1.7.2 y cargarla manualmente accediendo a: >> plugin >> Añadir nuevo >> Subir plugin >> activar.
Referencias