Grave vulnerabilidad en versiones de WordPress anteriores a 5.0.3

Se ha descubierto una importante vulnerabilidad en versiones de WordPress anteriores a 5.0.3 que permite a un usuario autenticado con un simple rol de “autor”, ejecutar código de forma remota.

Vulnerabilidad importante en versiones de WordPress anteriores a 5.0.3

Un nuevo capítulo en la seguridad de WordPress. En este caso, se trata de una vulnerabilidad que lleva más de 6 años en el core de WordPress y que aún no se había parcheado. El atacante, mediante el uso de dos tipos de ataques como “Path Traversal” y “Local File Inclusion”, puede ejecutar un código PHP arbitrario en el servidor donde se aloja la instalación de WordPress, lo que lleva a una toma de control remota completa.

Una vez ejecutado el atacante podrá acceder a todos los archivos del directorio principal de WordPress y por lo tanto además, a la base de datos de éste con el peligro que eso conlleva.

Puedes ver la prueba de concepto en el siguiente video

El hecho de que se necesite un usuario autenticado (aunque sea de rol suscriptor o autor) hace que la vulnerabilidad sea menos peligrosa pero aún así, existe y es necesario erradicarla.

¿Cómo protegerme de esta vulnerabilidad?

Actualiza tu WordPress a la versión 5.0,3 (o sucesivas) donde este fallo está parcheado y no tendrás que preocuparte de ella.

Tienes más información y un video de la prueba de concepto en este link:

Centro de preferencias de privacidad

Cookies de sesión

Con ellas almacenamos tu nombre, correo, IP y demás datos que dejas en los formularios de comentarios, contacto y acceso.

AUTH_KEY,SECURE_AUTH_KEY,LOGGED_IN_KEY,NONCE_KEY,comment_author, comment_author_email, comment_author_url,rated,gdpr,et_editor,gawdp

Cookies externas

Se almacenan tus usos de navegación, si estás suscrito a mi newsletter y los elementos compartidos en redes sociales.

_ga,_gid
_ga,_gid
cfduit_,_ga,_gid,intercom-id,intercom-lou,mailerlite:language,mailerlite:webform
PREF, VISITOR_INFO1_LIVE, YSC, NID, YSC, _gid, ga, LD_T, LD_U, LD_R, LD_S

Posting....