La vulnerabilidad del complemento del boletín de noticias de WordPress permite a los piratas informáticos establecer puertas traseras

Un nuevo informe de Inteligencia de amenazas de Wordfence El equipo reveló dos vulnerabilidades en el complemento del boletín de noticias de WordPress. Los piratas informáticos pueden aprovecharlos para crear puertas traseras y cuentas de administrador para su uso posterior. Aunque el parche está disponible, al menos 150 mil sitios siguen siendo vulnerables porque no se han actualizado.

Complemento de boletín de WordPress con dos vulnerabilidades

Complemento de boletín en WordPress es una caja de herramientas para crear plantillas de boletines y también para administrar campañas de marketing por correo electrónico. El complemento es fácil de usar ya que los usuarios pueden crear sus modelos a través de un editor visual. El complemento es lo suficientemente popular como para ser descargado por 12 millones de personas hasta ahora, siendo instalado por al menos 300.000 sitios de WordPress.

Panel de control del complemento de boletín
Panel de control del complemento de boletín

Hoy, un informe de Ram Gall, un analista de amenazas de Wordfence Threat Intelligence reveló dos vulnerabilidades en este complemento de Newsletter. mientras que la Secuencias de comandos entre sitios (XSS), el otro es un Inyección de objetos PHP. Se clasifican en puntuaciones de gravedad media y alta, respectivamente. Estos fueron reportados por primera vez por Ram Gall al equipo del Boletín el 15 de julio, y el parche se lanzó solo dos días después de eso.

Las vulnerabilidades, las secuencias de comandos cruzadas XSS pueden permitir a los piratas informáticos agregar administradores de rouge al sitio, y la falla de inyección de objetos PHP puede inyectar un objeto PHP, que puede ser procesado por código de otro complemento o tema para ejecutar código arbitrario, cargar archivos, etc. , estos defectos se pueden utilizar para controlar fácilmente los sitios vulnerables. Por lo tanto, se recomienda a los administradores del sitio que utilicen el complemento Newsletter que actualicen de inmediato.

La versión 6.8.3 se lanzó el 17 de julio, pero se ha instalado o actualizado por 151,449 usuarios a partir de ahora. Esto deja al resto de los sitios expuestos a estos ataques, por lo que se recomienda actualizar de inmediato para evitar ser pirateados.