Martes, 04 August 2020 13:32

El CSIRT de Entelgy Innotec Security avisa de una vulnerabilidad en Wordpress

El CSIRT de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad en Wordpress.

Se ha publicado una vulnerabilidad en un plugin ampliamente utilizado del gestor  de contenidos Wordpress. El plugin afectado es wpDiscuz, el cual permite crear múltiples diseños de comentarios en tiempo real con campos y formularios de comentarios personalizados. Según el repositorio oficial de plugins de Wordpress,  wpDiscuz dispone de más de 80.000 instalaciones activas a día de hoy. 

La vulnerabilidad se ubica en las funciones de detección de tipo MIME, utilizadas  para verificar los archivos adjuntos que se añaden en los comentarios publicados por los usuarios del sitio web. El fallo puede provocar que esta verificación sea omitida y, por lo tanto, un usuario no autenticado podría adjuntar cualquier tipo de archivo en un comentario, incluso archivos PHP, posibilitando así la ejecución remota de código. 

La base de datos del NIST hasta el momento no ha asignado ningún CVE para esta vulnerabilidad por lo que no se conoce su criticidad en base a la escala CVSSv3. No obstante, los investigadores que han reportado el fallo la han calificado como crítica. 

Hasta la fecha tampoco se tiene conocimiento de reportes sobre actividad dañina en la red, ni de exploits que aprovechen esta vulnerabilidad.

Recursos afectados: 

  • wpDiscuz para Wordpress. Versiones 7.0.0 hasta la 7.0.4

Solución a las vulnerabilidades: 

Actualizar a la última versión de wpDiscuz disponible, es decir, la 7.0.6 a través  del enlace que se ofrece a continuación: 

Recomendaciones: 

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos. 

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar la actualización descrita. 

Referencias: 

Visto 351 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa