Un plugin de la herramienta Word press posee vulnerabilidad critica (31/Mayo/2019)﷯ Uno de los plugins utilizados por la popular herramienta Word Press permitiría crear cuentas de usuario con privilegios de administrador lo cual a su vez pone en riesgo la información contenida en el sitio web que utilice dicho plugin. Investigadores de Wordfence encontraron en el plugin Convert Plus, la posibilidad de modificar de las opciones para asignación y creación de usuarios en los formularios de suscripciones, esta modificación permitiría al atacante crear nuevas cuentas de usuario con diferentes roles incluyendo las de administrador, lo cual haría que el atacante controle el sitio web y todos los activos de información incluidos a su gusto. El plugin Covert Plus permite a los administradores de sitios Web basados en WordPress configuración la interacción de ventas PopUp en consideración a actividades específicas realizadas por los visitantes de un sitio, por lo cual es muy popular. En consideración a las características de esta vulnerabilidad y las actividades de explotación detectadas, el EcuCERT recomienda a su comunidad objetivo lo siguiente: 1. Actualizar de manera inmediata el plugin Convert Plus. 2. Actualizar las credenciales de gestión del sitio web basado en WordPress. Referencias https://www.wordfence.com/blog/2019/05/critical-vulnerability-patched-in-popular-convert-plus-plugin/ https://www.convertplug.com/plus/version-3-4-3-security-update/ .
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT