{"id":1337044,"date":"2024-08-28T11:15:59","date_gmt":"2024-08-28T11:15:59","guid":{"rendered":"https:\/\/teknomers.com\/es\/un-fallo-critico-del-complemento-wpml-expone-los-sitios-de-wordpress-a-la-ejecucion-remota-de-codigo\/"},"modified":"2024-08-28T11:16:04","modified_gmt":"2024-08-28T11:16:04","slug":"un-fallo-critico-del-complemento-wpml-expone-los-sitios-de-wordpress-a-la-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/un-fallo-critico-del-complemento-wpml-expone-los-sitios-de-wordpress-a-la-ejecucion-remota-de-codigo\/","title":{"rendered":"Un fallo cr\u00edtico del complemento WPML expone los sitios de WordPress a la ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad de WordPress \/ Protecci\u00f3n de sitios web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Un-fallo-critico-del-complemento-WPML-expone-los-sitios-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha revelado una falla de seguridad cr\u00edtica en el complemento multiling\u00fce WPML para WordPress que podr\u00eda permitir a usuarios autenticados ejecutar c\u00f3digo arbitrario de forma remota bajo determinadas circunstancias.<\/p>\n<p>La vulnerabilidad, rastreada como <a rel=\"nofollow noopener\" href=\"https:\/\/www.wordfence.com\/blog\/2024\/08\/1000000-wordpress-sites-protected-against-unique-remote-code-execution-vulnerability-in-wpml-wordpress-plugin\/\" target=\"_blank\">CVE-2024-6386<\/a> (Puntuaci\u00f3n CVSS: 9,9), afecta a todas las versiones del complemento anteriores a la 4.6.13, que se lanz\u00f3 el 20 de agosto de 2024.<\/p>\n<p>El problema, que surge debido a la falta de validaci\u00f3n y desinfecci\u00f3n de entradas, permite que atacantes autenticados, con acceso de nivel de colaborador y superior, ejecuten c\u00f3digo en el servidor.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevas-fallas-en-los-altavoces-inteligentes-Sonos-permiten-a-los.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>WPML es un complemento popular que se utiliza para crear sitios multiling\u00fces de WordPress. Tiene m\u00e1s de un mill\u00f3n de instalaciones activas.<\/p>\n<p>El investigador de seguridad stealthcopter, que descubri\u00f3 y report\u00f3 CVE-2024-6386, dijo que el problema radica en el manejo del complemento. <a rel=\"nofollow noopener\" href=\"https:\/\/wordpress.com\/support\/wordpress-editor\/blocks\/shortcode-block\/\" target=\"_blank\">c\u00f3digos cortos<\/a> que se utilizan para insertar contenido de publicaciones, como audio, im\u00e1genes y videos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724843759_363_Un-fallo-critico-del-complemento-WPML-expone-los-sitios-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724843759_363_Un-fallo-critico-del-complemento-WPML-expone-los-sitios-de.png\" alt=\"Falla del complemento WPML\" border=\"0\" data-original-height=\"696\" data-original-width=\"1806\" title=\"Falla del complemento WPML\"\/><\/a><\/div>\n<p>&#8220;En concreto, el complemento utiliza plantillas Twig para representar el contenido en c\u00f3digos cortos, pero no desinfecta adecuadamente la entrada, lo que provoca la inyecci\u00f3n de plantillas del lado del servidor (SSTI)&#8221;, dijo el investigador. <a rel=\"nofollow noopener\" href=\"https:\/\/sec.stealthcopter.com\/wpml-rce-via-twig-ssti\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>SSTI, como su nombre lo indica, <a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/learn\/application-security\/server-side-template-injection-ssti\/\" target=\"_blank\">ocurre<\/a> Cuando un atacante puede usar la sintaxis de plantilla nativa para inyectar una carga maliciosa en una plantilla web, que luego se ejecuta en el servidor, un atacante podr\u00eda aprovechar la falla para ejecutar comandos arbitrarios, lo que le permitir\u00eda tomar el control del sitio.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Esta versi\u00f3n de WPML corrige una vulnerabilidad de seguridad que podr\u00eda permitir a los usuarios con ciertos permisos realizar acciones no autorizadas&#8221;, dijeron los mantenedores del complemento, OnTheGoSystems. <a rel=\"nofollow noopener\" href=\"https:\/\/wpml.org\/changelog\/2024\/08\/wpml-4-6-13-and-woocommerce-multilingual-5-3-7-security-and-other-enhancements\/\" target=\"_blank\">dicho<\/a>&#8220;Es poco probable que este problema ocurra en situaciones del mundo real. Requiere que los usuarios tengan permisos de edici\u00f3n en WordPress y que el sitio utilice una configuraci\u00f3n muy espec\u00edfica&#8221;.<\/p>\n<p>Se recomienda a los usuarios del complemento que apliquen los \u00faltimos parches para mitigar posibles amenazas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/critical-wpml-plugin-flaw-exposes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de agosto de 2024\ue804Ravie LakshmananSeguridad de WordPress \/ Protecci\u00f3n de sitios web Se ha revelado una falla<\/p>\n","protected":false},"author":1,"featured_media":1337045,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,706,4664,51458,172,38,11214,4013,10273,4667,36,239182,4654,239508,4658,4659,4653,17256,246983,4665,246984,3260,246982,239484,51459,250482],"class_list":["post-1337044","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-complemento","tag-critico","tag-del","tag-ejecucion","tag-expone","tag-fallo","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-remota","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sitios","tag-violacion-de-datos","tag-vulnerabilidad-del-software","tag-wordpress","tag-wpml"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1337044","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1337044"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1337044\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1337045"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1337044"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1337044"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1337044"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}