Un fallo en WordPress permite leer y crear cookies y usuarios admin

Share on facebook
Share on google
Share on twitter
Share on linkedin
security, protection, anti virus

Sin duda WordPress es uno de los gestores de contenido más utilizados a nivel mundial. Esto hace que cuente con múltiples opciones y herramientas disponibles. Pero también esto hace que los piratas informáticos pongan aquí sus miras y sea objeto de ataques. Esto ocurre especialmente cuando hay vulnerabilidades en la plataforma o algún plugin. De ello vamos a hablar en este artículo. Nos hacemos eco de un fallo de seguridad que afecta a un complemento de WordPress y que permite que los atacantes puedan leer y crear cookies, así como generar usuarios con permisos de administrador.

Una vulnerabilidad en OneTone afecta a WordPress

OneTone es uno de los temas de WordPress que podemos utilizar. Es usado por muchos usuarios. Por ello un fallo de seguridad como el que mencionamos puede afectar a muchos. Se trata de una vulnerabilidad que en caso de ser explotada permitiría a un atacante poder leer y crear cookies en el sitio. También podría crear cuentas de administrador a través de una puerta trasera.

Sin duda es un problema que puede afectar a la seguridad y privacidad de una página web. Pone en jaque a los webmasters y daña también la reputación del sitio. Esta vulnerabilidad lleva presente desde hace meses, pero los ataques ocurren desde principios de mes y la campaña sigue activa a día de hoy.

El tema de OneTone es desarrollado por Magee WP. Aunque es antiguo sigue siendo muy utilizado por los usuarios. Está presente por tanto en muchas páginas que mantienen una versión obsoleta. Concretamente, según indican los investigadores de seguridad de NinTechNet, la vulnerabilidad es un error de scripting entre sitios (XSS).

Esta vulnerabilidad XSS permite a un atacante inyectar código malicioso dentro de la configuración del tema. Hay que tener en cuenta que la última actualización lanzada por Magee WP es de 2018.

A través del código que inyecta un posible atacante podemos llegar a varios escenarios. Uno de ellos podría tener la función de redirigir a los visitantes a un sistema distribuido alojado en un sitio malicioso. También puede crear una puerta trasera para habilitar usuarios con permisos de administrador, como hemos indicado.

Plugins falsos en WordPress

No cuenta con parche disponible

Hay que tener en cuenta que lo más importante de todo este asunto es que no hay parche disponible. Desde Magee WP consideran este tema obsoleto, antiguo, y por tanto no ha lanzado una solución al respecto. Es cierto que WordPress ha eliminado el tema gratuito de su repositorio, pero esto no evita que haya miles de páginas en todo el mundo que todavía utilizan este tema.

De hecho según indican los investigadores de seguridad que han detectado este problema, son más de 16.000 sitios web que tienen todavía hoy el tema de OneTone. Esto hace que esas páginas puedan verse comprometidas.

Aunque en este caso no hay parche disponible, queremos recordar una vez más la importancia de siempre contar con las últimas versiones. De esta forma podremos hacer frente a problemas que puedan surgir.

Mariana Prado

Mariana Prado

Comentar

Dejá un comentario

Seguí leyendo

Indicadores Globales

Indicadores Forex

Dolar Venta Hoy

[cotizacionfdv]

Publicado por: Mariana Prado

mpradobae@gmail.com

Dejá un comentario

Mas del Autor

Siguenos

Chile consagra los “neuroderechos” para evitar cambios no consentidos mediante las neurotecnologías

Chile consagra los “neuroderechos” para evitar cambios no consentidos mediante las neurotecnologíasChile está a punto de consagrar en su Constitución los derechos del cerebro o “neuroderechos”, para preservar “la integridad física y psíquica” de la persona de cualquier modificación no consentida que pretendan infligirle cualquier autoridad o individuo a través de la neurotecnología. El Senado

Read More »

Mas recientes

Jorge Luis Borges: a 35 de su desaparición sus relatos jamás lo dejarán morir

Una Historia de Amor Por Laura Esponda Profesora y Licenciada en Letras (UBA)    Especialista en Educación y TIC(Ministerio de Educación de la Nación) Los que me conocen saben que uno de los amores de mi vida es Jorge Luis Borges. Aunque nunca tuve oportunidad de decírselo, todos mis amigos saben que Borges me eligió como

Artesanas Hilanderas del Abaucán

Informe Proyecto Cultural Colaborativo Donde se gesta la AHA A finales de 2020 una conversación con Artesanas amigas, doña Evelina de Palo Blanco y doña Martina de Fiambalá fue el germen que estableció la necesidad de poner en marcha un plan para evitar que se perdieran, como está sucediendo, los conocimientos referentes al hilado y

LA RUTA DE LA LANA

https://giampaolofoster.wixsite.com/jachytatatjavya/carlajulioe En Agua Hedionda, en pleno corazón de la Cordillera de San Buenaventura se apilan junto al corral el producto de cinco años de esquila de las 200 ovejas que crían don Rolo y doña Fabiana. Son unos 4.000 kg. de lana, descontando lo que el sonda desparrama por la quebrada. Bajarlas a Fiambalá para

Miguel Mirra: La Antropología “Barrio Adentro”

Publicado por PABLO KULCAR  Barrio adentro es su primera novela El reconocido documentalista Miguel Mirra nos cuenta con profunda sencillez la subjetividad de los habitantes de un barrio del conurbano bonaerense que conoce desde la infancia, haciendo foco en sus prácticas comunitarias, solidarias y autogestionadas. Barrio adentro trasciende las peores o mejores coyunturas sociales para convertirse

Cientos de hongkoneses se reúnen para recordar la represión de Tiananmen

Cientos de personas se reunieron hoy en las inmediaciones del parque Victoria, en la ciudad autónoma china de Hong Kong, en una vigilia para recordar la represión china en la plaza Tiananmen de Beijing. Las personas se concentraron en las inmediaciones para sortear la prohibición policial que rige por segundo año consecutivo debido a las

Subscribete

Al subscribirte aceptas recibir info de nuestras noticias y campañas publicitarias.

Scroll to Top