El error en el complemento de WordPress puede permitir a los piratas informáticos borrar hasta 200,000 sitios


wordpress

Se recomienda a los propietarios de sitios de WordPress que usen temas comerciales proporcionados por ThemeGrill que actualicen uno de los complementos que vienen instalados con estos temas para corregir un error crítico que puede permitir a los atacantes borrar sus sitios.

La vulnerabilidad reside en Importador de demostración de ThemeGrill, un complemento que se envía con temas vendidos por ThemeGrill, una empresa de desarrollo world-wide-web que vende temas comerciales de WordPress.

El complemento, que está instalado en más de 200,000 sitios, permite a los propietarios de sitios importar contenido de demostración dentro de sus temas ThemeGrill para que tengan ejemplos y un punto de partida sobre el que puedan construir sus propios sitios.

Sin embargo, en un informe publicado ayer, La firma de seguridad de WordPress WebARX dice que las versiones anteriores de ThemeGrill Demo Importer son vulnerables a ataques remotos de atacantes no autenticados.

Los hackers remotos pueden enviar una carga útil especialmente diseñada a sitios vulnerables y activar una función dentro del complemento.

La función susceptible restablece el contenido del sitio a cero, eliminando efectivamente el contenido de todos los sitios de WordPress donde un tema ThemeGrill está activo y el complemento vulnerable está instalado.

Además, si la foundation de datos del sitio contiene un usuario llamado «admin», el atacante tiene acceso a ese usuario con todos los derechos de administrador sobre el sitio.

WebARX dice que la vulnerabilidad afecta a todas las versiones del plugin ThemeGrill Demo Importer entre la versión 1.3.4 y 1.6.1.

ThemeGrill, el desarrollador del complemento, corrigió el error y lanzó la versión 1.6.2 durante el fin de semana.

Este es el segundo mistake en un complemento de WordPress que se reveló este año que puede permitir a los atacantes borrar las bases de datos del sitio. El mes pasado, el equipo de Wordfence reveló un problema comparable en el complemento WP Database Reset, instalado en más de 80,000 sitios.

Otros errores notables de WordPress que se han revelado este año incluyen:



Enlace a la noticia authentic