Vulnerabilidad en plugin para WordPress permitiría a hackers borrar bases de datos

Un plugin que se incluye en los temas desarrollados por ThemeGrill para WordPress contiene una vulnerabilidad crítica, por lo que es necesario que los usuarios de estos temas actualicen inmediatamente dicho plugin.

La vulnerabilidad reside en ThemeGrill Demo Importer, un complemento que se entrega con temas vendidos por ThemeGrill, una compañía de desarrollo web que vende temas comerciales de WordPress.

El plugin, que se encuentra instalado en más de 200 mil sitios, permite a los propietarios de sitios importar contenido de demostración dentro de sus temas ThemeGrill para que tengan ejemplos y un punto de partida sobre el que puedan construir en sus propios sitios.

Sin embargo, en un informe publicado ayer, la compañía de seguridad de WordPress, WebARX, afirma que las versiones anteriores de ThemeGrill Demo Importer son vulnerables a ataques remotos de atacantes no autenticados.

Los hackers remotos pueden enviar una carga útil respectivamente diseñada a sitios vulnerables y activar una función dentro del complemento.

La función vulnerable restablece el contenido del sitio a cero, eliminando efectivamente el contenido de todos los sitios de WordPress donde está activo un tema ThemeGrill y se instala el complemento vulnerable.

Además, si la base de datos del sitio contiene un usuario llamado «admin», el atacante tiene acceso a ese usuario con todos los derechos de administrador sobre el sitio.

WebARX asegura que la vulnerabilidad afecta a todas las versiones del plugin ThemeGrill Demo Importer entre la versión 1.3.4 y 1.6.1. El desarrollador del complemento ya corrigió el problema y lanzó la versión 1.6.2 durante el fin de semana.

Ese es el segundo error en un plugin de WordPress que se revela este año, que puede permitir a los atacantes borrar las bases de datos del sitio. El mes pasado, el equipo de Wordfence reveló un problema similar en el plugin WP Database Reset, instalado en más de 80 mil sitios.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *