Los equipos de seguridad de WordPress han identificado una vulnerabilidad de día cero ('zero day') en la extensión de diseño de plantillas Royal Elementor Addons and Templates de Wordpress, que permite a los ciberdelincuentes cargar archivos con código malicioso. Royal Elementor es un complemento que reúne todas las herramientas necesarias para generar plantillas, temas, menús, bloques y extensiones de widgets, que son gratuitos y que actualmente registra más de 200.000 descargas activas. Personal de seguridad de la plataforma WordPress -pertenecientes a las unidades Wordfence y WPScan- han identificado una falla de día cero -esto es, aquella que se descubre antes de que los desarrolladores hayan creado un parche que la solucione- que afecta a los complementos y las plantillas de Royal Elementor hasta la versión 1.3.78. Esta brecha, identificada como CVE-2023-5360, se ha calificado como crítica y permite a los ciberdelincuentes realizar cargas de archivos maliciosos de manera arbitraria, según han comentado estas unidades de seguridad. Tal y como detallan desde WPScan, aunque este complemento de WordPress cuenta con un sistema de validación para limitar las cargas de archivos específicos elegibles, estos actores maliciosos pueden manipular la lista de estos formatos para evitar que este filtro realice las comprobaciones pertinentes. Por tanto, los atacantes pueden lograr la ejecución remota de código malicioso a través de este paso de carga de archivos, lo que compromete la totalidad del sitio web. Esto se ha podido comprobar por la presencia de archivos PHP dentro del directorio /wpr-addons/forms/. Wordfence, por su parte, ha informado sobre el bloqueo de 46.169 ataques dirigidos a Royal Elementor este último mes, mientras que desde WPScan han asegurado que registraron un total de 889 ataques diferentes, según sus cálculos. Ambas unidades de seguridad de WordPress han recomendado a los administradores de WordPress la descarga de la versión 1.3.79 de este complemento, que es "crucial" para protegerse contra esta vulnerabilidad, según ha matizado WPScan.
Últimas Noticias
Díaz-Canel advierte que Cuba resistirá pese a la "feroz guerra económica" que EEUU ejerce como "castigo colectivo"
Rusia reconoce que Ucrania cuadruplicó sus ataques contra la infraestructura energética
Irak informa de un nuevo ataque contra la Embajada de Estados Unidos en Bagdad
Fuentes de seguridad confirman un ataque con dron cerca de la misión estadounidense en la Zona Verde, donde los sistemas de defensa no lograron interceptar el aparato, sin que se reporten víctimas hasta el momento, según medios locales
Ucrania y Reino Unido anuncian que intensificarán su colaboración en seguridad e industria de defensa
Los líderes de ambas naciones acordaron impulsar proyectos conjuntos en defensa, tecnología y seguridad estratégica, destacando el desarrollo de armamento avanzado, intercambio de inteligencia y nuevas sanciones coordinadas contra Rusia, según un comunicado oficial divulgado por sus gobiernos
El Observatorio Cubano de DDHH denuncia la detención de 15 personas y menos de la mitad de liberaciones prometidas
Organizaciones defensoras de derechos humanos acusan a las autoridades cubanas de intensificar la represión tras prometer excarcelaciones, reportando nuevos arrestos, amenazas y acciones contra manifestantes, activistas y familiares de opositores, según informes recientes de la sociedad civil
