El complemento WordPress PageLayer puede permitir que los piratas informáticos eliminen contenido de su sitio

PageLayer, un popular complemento de WordPress tiene dos vulnerabilidades críticas. Esto puede permitir que los piratas informáticos remotos eliminen o modifiquen el contenido de su sitio web e incluso inyecten secuencias de comandos maliciosas para nuevas vulnerabilidades. Wordfence, que descubrió las fallas, informó a los desarrolladores del complemento y se lanzó una actualización de parche el 6 de mayo. Sin embargo, todavía hay más de 100.000 sitios en riesgo.

¡Puedes borrar todo!

Plugin de WordPress PageLayer
Plugin de WordPress PageLayer

Wordfence descubrió una amenaza similar en el complemento de Google a principios de este mes. Y ahora, ha vuelto con descubrimientos en otro complemento de PageLayer, un generador de páginas de arrastrar y soltar utilizado por más de 200.000 usuarios. Las versiones anteriores de PageLayer tienen dos fallas críticas que pueden explotarse para cambiar el contenido / la configuración del sitio e incluso tomar el control total.

La primera vulnerabilidad permitirá a cualquier usuario con acceso de nivel de suscriptor actualizar o modificar publicaciones con contenido malicioso. Incluso puede modificar otras configuraciones. Y la segunda vulnerabilidad permitirá a los atacantes «falsificar una solicitud en nombre de un administrador del sitio para modificar la configuración del complemento, lo que podría permitir la inyección maliciosa de Javascript. «

Esto se debe a las acciones AJAX desprotegidas y la falta de protección para las actividades de Falsificación de solicitudes entre sitios (CSRF). ¿Qué podría permitir a los atacantes inyectar código JavaScript malicioso y alterar las páginas del sitio web, crear cuentas de administrador no autorizadas y redirigir a los visitantes a otros sitios web maliciosos? Wordfence describe ¡Lo peor de estos exploits puede comprometer la computadora del usuario a través de su navegador!

Mitigación de problemas

Actualizar a la última versión es la única solución para esto. Se recomienda a los administradores del sitio que actualicen el complemento de su panel de control o descarguen el nuevo versión, 1.1.2 directamente desde Sitio web de PageLayer.

Este fue lanzado el 6 de mayo y más 85.000 sitios se han actualizado a la última versión. Sin embargo, todavía hay 100,000 sitios aún teniendo esta falla descubierta, y puede comprometer a los atacantes que estén interesados.
Actualice aquí: PageLayer v1.1.2