4 Plugins WordPress con Vulnerabilidad de Día Cero

Categorias: Wordpress

4 Plugins de WordPresss con Vulnerabilidades Día Cero

Se han detectado vulnerabilidades de día cero en 4 populares plugins de WordPress, que pueden afectar gravemente a tu sitio; Flexible Checkout Fields for WooCommerce, Async JavaScript, 10Web Map Builder for Google Maps y Modern Events Calendar Lite, son los plugins afectados.

4 plugins de WordPress se han visto afectados por una vulnerabilidad de día cero, esto significa que no existen avisos previos y el desarrollador ha tenido tiempo de lanzar un parche para solucionarlo.

Las vulnerabilidades de día cero son muy peligrosas ya que los atacantes pueden aprovecharlas para las lanzar sus ataques antes de que exista una solución.

Si usas uno de estos cuatro plugins en tus WordPress, deberás instalar los parches de seguridad según vayan liberándolos los desarrolladores y en caso de que no se lancen, eliminar el plugin hasta que exista una versión parcheada.

 

Flexible Checkout Fields for WooCommerce

flexible checkout fields woocommerce - WordPress

Flexible Checkout Fields for WooCommerce es un plugin que permite modificar los campos obligatorios cuando un cliente hace una compra en WooCommerce.

La vulnerabilidad en este plugin afecta las versiones 2.3.1 y anteriores.

El desarrollador ya ha lanzado parches para corregir los errores detectados, por lo que sólo necesitas actualizarlo para estar a salvo.

En las versiones vulnerables, un atacante no autenticado es capaz de aprovechar el problema de seguridad para inyectar cargas XSS maliciosas.

 

Async JavaScript

async javascript - WordPress

Async JavaScript es un plugin muy utilizado, más de 100 mil instalaciones activas y del que hablamos en este artículo.

Se usa para eliminar los recursos que bloquean el renderizado, que es una de las advertencias que podemos ver en el PageSpeed de Google y otro medidores de velocidad web.

Las versiones afectadas en este plugin son las anteriores a la 2.19.07.14, este versión incluida.

El desarrollador ya ha lanzado la solución, por lo que tenemos que actualizar a la última versión lo antes posible.

Un atacante puede inyectar JavaScript malicioso que se activarán cuando un administrador del WordPress atacado acceda a ciertas partes.

 

10Web Map Builder for Google Maps

10Web Map Builder for Google Maps - WordPress

10Web Map Builder for Google Maps es un plugin que ayuda a utilizar y configurar los mapas de Google en nuestro WordPress.

Lo usan unas 20 mil instalaciones de WordPress y las versiones afectadas por la vulnerabilidad son la 1.0.63 y las anteriores a esta.

En el momento de escribir este artículo no existe parche disponible, aunque se espera que en las próximas horas el desarrollador lance una solución.

La vulnerabilidad de este plugin es crítica, ya que un atacante no autenticado, puede inyectar JavaScript en ciertos sitios de la web para que sean ejecutados por los administradores o usuarios.

 

Modern Events Calendar Lite

modern events calendar lite - WordPress

Modern Events Calendar Lite nos ayuda a administrar nuestros eventos desde el propio WordPress.

Lo usan más de 40 mil WordPress, así que tiene un uso muy extendido.

Del mismo modo que en el caso anterior, el desarrollador aun no ha lanzado un parche, por lo que la versión actual 5.1.6 y anteriores, están afectadas por la vulnerabilidad.

Se espera una respuesta por parte del desarrollador, pero al igual que todas las vulnerabilidades que hemos incluido en este post, los atacantes ya la conocen.

Así que si la tienes instalada, estás en riesgo, ya que en este momento no hay solución, al menos en el momento de publicar este artículo.

Un atacante puede usar la vulnerabilidad para conseguir cuentas de administrador del WordPress atacado. Este tipo de ataques van dirigidos a los propios administradores de WordPress.

 

Cosas a Tener en Cuenta

Las peores vulnerabilidades que podemos encontrar son las del día cero.

Son detectadas por los atacantes antes que por los propios desarrolladores o investigadores, por lo que tienen tiempo para realizar sus ataques antes de que exista una solución.

Como verás, en estos momentos hay solución para dos de los plugins, pero no para los otros dos.

Depende de los propios desarrolladores y sus recursos el ser más o menos rápidos a la hora de lanzar soluciones.

Depende de ti si quieres seguir mantenerlos activos en tu WordPress o desinstalarlos temporalmente hasta que se lance un parche con la solución.

seguro restauracion backup imagen Hostinet

Si te ves afectado por alguna de estas vulnerabilidades, recuerda que puedes contratar el seguro de restauración de backups de Hostinet para restaurar tu WordPress a un punto anterior.

– Más info aquí (en inglés)

Hosting WordPress SSD + LiteSpeed

Hosting WordPress