Vulnerabilidad REST API Explotada en Miles de Sitios WordPress

Vulnerabilidad REST API Explotada en Miles de Sitios WordPress

En la última actualización de WordPress 4.7.2 se han corregido cuatro problemas de seguridad, uno de estos problemas fue la vulnerabilidad REST API que permitía un escalamiento de privilegios no autenticado, pero que fue corregida de forma silenciosa, y no fue publicada hasta casi una semana después de la actualización.

Vulnerabilidad REST API Explotada

El objetivo era dar tiempo a la mayoría de los usuarios de WordPress a actualizar a la versión 4.7.2 para evitar una ola de hackeo en masa de sitios web que utilizan WordPress. Terminado un suficiente tiempo como para que la mayoría haya actualizado, la vulnerabilidad fue publicada por grupo de seguridad Sucuri.

Lamentablemente cientos de miles de páginas de WordPress que no han actualizado todavía a la versión 4.7.2 han sido explotadas con esta vulnerabilidad, y que se vieron afectados por la inyección de contenido en páginas o entradas, con mensajes como “Hacked by NG689Skw” o también “Hacked By SA3D HaCk3D” .

El problema en sí no afecta mucho al contenido de los sitios web WordPress, y tampoco causa gran impacto, pero es mucho más peligroso si el sitio tiene algún plugin como PHP Code Widget que permite insertar código PHP en widgets.

Si usas WordPress, y todavía estás usando versiones anteriores a WordPress 4.7.2 tu sitio web está corriendo el riesgo de ser inyectado por contenido no autorizado. La solución es simple, actualiza tu WordPress y limpia tu sitio. Te recomendamos encarecidamente habilitar la actualización automática de las versiones menores en WordPress, para mantenerse protegido.

1 COMENTARIO

DEJAR COMENTARIO

Favor escribir tu comentario!
Favor ingresar tu nombre aquí