Categories: Seguridad

Parchean una vulnerabilidad crítica en un plug-in para WordPress

Encontrarse con vulnerabilidades de seguridad en las creaciones de diferentes fabricantes no es extraño. Se descubren, se parchean y se sigue adelante.

Lo que es más raro es que los responsables del software hagan oídos sordos cuando alguien encuentra un fallo, sobre todo si éste pone en riesgo a cientos de miles de usuarios.

Eso es lo que ha pasado con el plug-in para WordPress Custom Contact Forms. Al menos si hacemos caso a la versión de Sucuri, que es la que tenemos y que acaba recomendando el uso de alternativas como JetPack y Gravity Forms por contar con “desarrolladores que son muy receptivos y se ocupan activamente por tus necesidades de seguridad”.

Esta empresa detectó “una vulnerabilidad crítica” en dicho plug-in hace unas cuantas semanas. Según explica en su blog, el fallo quedó al descubierto durante una revisión rutinaria, revelando la posibilidad de “descargar y modificar la base de datos de forma remota” sin necesidad de demostrar la identidad del usuario con información de autenticación.

Esto significa que un ciberdelincuente podría acabar tomando control pleno, sin mayores problemas, de la página web afectada por el bug en Custom Contact Forms. ¿Cuántas son? Podrían ser más de 600.000, ya que ése es el número de descargas que se lleva contabilizado del plug-in.

Después de ponerse en contacto son sus desarrolladores y recibir la callada por respuesta, Sucuri habría puesto el asunto directamente en manos del equipo de seguridad de WordPress. El fallo ya ha sido solucionado, y todos los usuarios de Custom Contact Forms que usen la versión 5.1.0.3 o inferiores deberían actualizarlas de forma inmediata.

Éste no es el único fallo en un plug-in para WordPress que se ha registrado este verano. En julio ya os advertimos de que una vulnerabilidad en MailPoet autorizaba la carga de archivos PHP sin requerir el permiso del dueño de la web.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Tecnología para desenmascarar los deepfakes

Los deepfakes cada vez son más difíciles de descubrir, por lo que se están desarrollando…

1 día ago

El coste de un CRM, la mayor barrera para su implantación en las empresas

Un 64 % de las empresas que operan en España consideran el coste de los…

2 días ago

Estas son las versiones y precios del Nothing phone (1)

El smartphone Nothing phone (1) dispondrá de tres variantes con precios que arrancan desde 500…

2 días ago

Fábricas y sector público, los sectores más indefensos ante ciberataques

Las fábricas y sector público presentan porcentajes cercanos al 50 % en incidencias de ciberataques.

2 días ago

La facturación del comercio electrónico creció hasta 57.000 millones en 2021

Los nuevos procesadores Samsung de 3 nanómetros son un 45 % más eficientes y un…

2 días ago

Samsung incrementa un 31 % el uso de energía renovable

En Europa ya está consumiendo un 100 % de energía renovable, cifra que planea lograr…

2 días ago