El popular plugin de WordPress W3 Total Cache presenta una vulnerabilidad grave en su configuración predeterminada, según las últimas investigaciones.
Así lo ha explicado Jason A. Donenfield en Full Disclosure, añadiendo que esta situación permite que la caché de claves sea descargada en instalaciones vulnerables.
Y, por lo tanto, podría exponer los hash de las contraseñas utilizadas.
“Una simple búsqueda en Google de ‘inurl:wp-content/plugins/w3tc/dbcache’ y otro poco de magia quizás revele que esto no es un problema mío exclusivo”, escribe Donenfield.
“Incluso con los listados de directorios desactivados, los archivos de caché son descargables públicamente por defecto”, añade, “y tanto los valores de clave como los nombre de archivo de la base de datos de objetos de caché son fácilmente predecibles“.
El desarrollador del plug-in ya ha explicado que tiene la intención de lanzar una solución “pronto”, pero mientras tanto lo mejor es denegar el acceso en el archivo .httaccess.
Llegan muchas novedades del congreso SAP Sapphire, pero una nos ha llamado la atención sobremanera:…
También anuncia la ampliación de calificaciones SSD, con proveedores como DapuStor, Kioxia, Phison, Sandisk y…
Un informe de Globant identifica los sectores donde la IA agéntica tendrá mayor impacto: salud,…
OVHcloud lanza AI Endpoints, una plataforma serverless con más de 40 modelos de IA open…
Pagarán solamente por la licencia de software, en base a una oferta por tiempo limitado…
Synology presenta BeeStation Plus, su nueva solución de almacenamiento plug-and-play de alto rendimiento, ideal para…
