Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Urgente: Vulnerabilidad crítica del complemento de WordPress expone más de 4 millones de sitios
  • Tecnología

Urgente: Vulnerabilidad crítica del complemento de WordPress expone más de 4 millones de sitios

teknomers 18 de Kasım de 2024 (Last updated: 18 de Kasım de 2024) 3 minutes read
Urgente: Vulnerabilidad crítica del complemento de WordPress expone más de


18 de noviembre de 2024Ravie LakshmananVulnerabilidad/Seguridad del sitio web

Se ha revelado una vulnerabilidad crítica de omisión de autenticación en el complemento Really Simple Security (anteriormente Really Simple SSL) para WordPress que, si se explota con éxito, podría permitir a un atacante obtener de forma remota acceso administrativo completo a un sitio vulnerable.

La vulnerabilidad, registrada como CVE-2024-10924 (puntuación CVSS: 9,8), afecta tanto a la versión gratuita como a la premium del complemento. El software está instalado en más de 4 millones de sitios de WordPress.

“La vulnerabilidad es programable, lo que significa que puede convertirse en un ataque automatizado a gran escala, dirigido a sitios web de WordPress”, dijo el investigador de seguridad de Wordfence István Márton dicho.

Ciberseguridad

Tras la divulgación responsable el 6 de noviembre de 2024, la deficiencia se solucionó en la versión 9.1.2 lanzada una semana después. Este riesgo de posible abuso ha incitado los mantenedores del complemento trabajarán con WordPress para forzar la actualización de todos los sitios que ejecutan este complemento antes de su divulgación pública.

Según Wordfence, la vulnerabilidad de omisión de autenticación, encontrada en las versiones 9.0.0 a 9.1.1.1, surge de un manejo inadecuado de errores de verificación de usuario en una función llamada “check_login_and_get_user”, permitiendo así a atacantes no autenticados iniciar sesión como usuarios arbitrarios, incluidos administradores, cuando dos -La autenticación de factor está habilitada.

Vulnerabilidad del complemento de WordPress

“Desafortunadamente, una de las características que agrega la autenticación de dos factores se implementó de manera insegura, lo que hizo posible que atacantes no autenticados obtuvieran acceso a cualquier cuenta de usuario, incluida una cuenta de administrador, con una simple solicitud cuando la autenticación de dos factores está habilitada”, dijo Márton.

La explotación exitosa de la vulnerabilidad podría tener graves consecuencias, ya que podría permitir a actores maliciosos secuestrar sitios de WordPress y utilizarlos con fines delictivos.

La divulgación se produce días después de que Wordfence revelara otra deficiencia crítica en el sistema de gestión de aprendizaje WPLMS para WordPress, WordPress LMS (CVE-2024-10470, puntuación CVSS: 9,8) que podría permitir a actores de amenazas no autenticados leer y eliminar archivos arbitrarios, lo que podría resultar en código. ejecución.

Ciberseguridad

Específicamente, el tema, anterior a la versión 4.963, es “vulnerable a la lectura y eliminación arbitraria de archivos debido a una validación de ruta de archivo y comprobaciones de permisos insuficientes”, lo que permite a atacantes no autenticados eliminar archivos arbitrarios en el servidor.

“Esto hace posible que atacantes no autenticados lean y eliminen cualquier archivo arbitrario en el servidor, incluido el archivo wp-config.php del sitio”, dicho. “Eliminar wp-config.php obliga al sitio a entrar en un estado de configuración, lo que permite a un atacante iniciar una toma de control del sitio conectándolo a una base de datos bajo su control”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El entrenador de los Bills salta sobre su sombra
Next: Dulce esfuerzo del árbitro para calmar a los jugadores: Querido, ve y respira

Related Stories

ChatGPT regresa a WhatsApp, y su acceso es completamente gratuito,
  • Tecnología

ChatGPT regresa a WhatsApp, y su acceso es completamente gratuito, descubre cómo aprovecharlo

teknomers 13 de Temmuz de 2026
Rebajado al -44%, este aspirador robot lavador Roborock con su
  • Tecnología

Rebajado al -44%, este aspirador robot lavador Roborock con su estación multifunción 4-en-1 está arrasando.

teknomers 13 de Temmuz de 2026
Beatbot Sora 30: el robot de piscina inteligente que pasa
  • Tecnología

Beatbot Sora 30: el robot de piscina inteligente que pasa a la ofensiva con 320 € de descuento

teknomers 13 de Temmuz de 2026

You May Have Missed

  • General

Immanuel Kant: Cita del día de Immanuel Kant: ‘La mayor búsqueda humana es saber qué se debe hacer para…’ Lecciones de vida a partir de una cita inspiradora sobre el autodesarrollo, el crecimiento moral, el dominio de los impulsos y el respeto por la dignidad.

teknomers 13 de Temmuz de 2026
Francia-España: la probable alineación de los Bleus con Tchouaméni y
  • Deporte

Francia-España: la probable alineación de los Bleus con Tchouaméni y Doué como titulares

teknomers 13 de Temmuz de 2026
ChatGPT regresa a WhatsApp, y su acceso es completamente gratuito,
  • Tecnología

ChatGPT regresa a WhatsApp, y su acceso es completamente gratuito, descubre cómo aprovecharlo

teknomers 13 de Temmuz de 2026
Aunque se inicia la disminución, aún hay que esperar para
  • Entretenimiento

Aunque se inicia la disminución, aún hay que esperar para ver el final de la canícula

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.