{"id":1388654,"date":"2024-10-04T19:30:31","date_gmt":"2024-10-04T19:30:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-falla-de-seguridad-del-complemento-litespeed-cache-de-wordpress-expone-los-sitios-a-ataques-xss\/"},"modified":"2024-10-04T19:30:35","modified_gmt":"2024-10-04T19:30:35","slug":"la-falla-de-seguridad-del-complemento-litespeed-cache-de-wordpress-expone-los-sitios-a-ataques-xss","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-falla-de-seguridad-del-complemento-litespeed-cache-de-wordpress-expone-los-sitios-a-ataques-xss\/","title":{"rendered":"La falla de seguridad del complemento LiteSpeed \u200b\u200bCache de WordPress expone los sitios a ataques XSS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad\/vulnerabilidad del sitio web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/La-falla-de-seguridad-del-complemento-LiteSpeed-\u200b\u200bCache-de-WordPress.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha revelado una nueva falla de seguridad de alta gravedad en el complemento LiteSpeed \u200b\u200bCache para WordPress que podr\u00eda permitir a actores maliciosos ejecutar c\u00f3digo JavaScript arbitrario bajo ciertas condiciones.<\/p>\n<p>El defecto, rastreado como <strong>CVE-2024-47374<\/strong> (Puntuaci\u00f3n CVSS: 7,2), se ha descrito como un script almacenado entre sitios (<a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/attacks\/xss\/\" target=\"_blank\">XSS<\/a>) vulnerabilidad que afecta a todas las versiones del complemento hasta la 6.5.0.2 inclusive.<\/p>\n<p>Se solucion\u00f3 en la versi\u00f3n 6.5.1 el 25 de septiembre de 2024, luego de la divulgaci\u00f3n responsable por parte del investigador de Patchstack Alliance, TaiYou.<\/p>\n<p>&#8220;Podr\u00eda permitir que cualquier usuario no autenticado robe informaci\u00f3n confidencial para, en este caso, escalar privilegios en el sitio de WordPress mediante la realizaci\u00f3n de una \u00fanica solicitud HTTP&#8221;, Patchstack <a rel=\"nofollow noopener\" href=\"https:\/\/patchstack.com\/articles\/unauthenticated-stored-xss-vulnerability-in-litespeed-cache-plugin-affecting-6-million-sites\/\" target=\"_blank\">dicho<\/a> en un informe. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La falla surge de la manera en que el complemento, el valor del encabezado HTTP &#8220;X-LSCACHE-VARY-VALUE&#8221;, se analiza sin una desinfecci\u00f3n adecuada y sin escape de salida, lo que permite la inyecci\u00f3n de scripts web arbitrarios.<\/p>\n<p>Dicho esto, vale la pena se\u00f1alar que las configuraciones de optimizaci\u00f3n de p\u00e1gina &#8220;Combinar CSS&#8221; y &#8220;Generar UCSS&#8221; son necesarias para permitir que el exploit tenga \u00e9xito.<\/p>\n<p>Tambi\u00e9n llamados ataques XSS persistentes, estas vulnerabilidades permiten almacenar un script inyectado de forma permanente en los servidores del sitio web de destino, como en una base de datos, en un foro de mensajes, en un registro de visitantes o en un comentario.<\/p>\n<p>Esto hace que el c\u00f3digo malicioso incrustado en el script se ejecute cada vez que un visitante desprevenido del sitio llega al recurso solicitado, por ejemplo, la p\u00e1gina web que contiene el comentario especialmente dise\u00f1ado.<\/p>\n<p>Los ataques XSS almacenados pueden tener consecuencias graves, ya que podr\u00edan utilizarse como arma para generar vulnerabilidades basadas en navegadores, robar informaci\u00f3n confidencial o incluso secuestrar la sesi\u00f3n de un usuario autenticado y realizar acciones en su nombre.<\/p>\n<p>El escenario m\u00e1s da\u00f1ino es cuando la cuenta de usuario secuestrada es la de un administrador del sitio, lo que permite que un actor de amenazas tome el control total del sitio web y realice ataques a\u00fan m\u00e1s poderosos.<\/p>\n<p>Los complementos y temas de WordPress son una v\u00eda popular para los ciberdelincuentes que buscan comprometer sitios web leg\u00edtimos. Dado que LiteSpeed \u200b\u200bCache cuenta con m\u00e1s de seis millones de instalaciones activas, las fallas en el complemento representan una superficie de ataque lucrativa para ataques oportunistas.<\/p>\n<p>El \u00faltimo parche llega casi un mes despu\u00e9s de que los desarrolladores del complemento abordaran otra falla (CVE-2024-44000, puntuaci\u00f3n CVSS: 7,5) que podr\u00eda permitir a usuarios no autenticados tomar el control de cuentas arbitrarias.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tambi\u00e9n sigue la <a rel=\"nofollow noopener\" href=\"https:\/\/patchstack.com\/articles\/unpatched-sql-injection-vulnerability-in-ti-woocommerce-wishlist-plugin\/\" target=\"_blank\">divulgaci\u00f3n<\/a> de una falla cr\u00edtica de inyecci\u00f3n de SQL sin parchear en el complemento TI WooCommerce Wishlist (CVE-2024-43917, puntuaci\u00f3n CVSS: 9.8) que, si se explota con \u00e9xito, permite a cualquier usuario ejecutar consultas SQL arbitrarias en la base de datos del sitio de WordPress.<\/p>\n<p>Otra vulnerabilidad de seguridad cr\u00edtica se refiere al complemento de WordPress Jupiter X Core (CVE-2024-7772, puntuaci\u00f3n CVSS: 9,8) que permite a atacantes no autenticados cargar archivos arbitrarios en el servidor del sitio afectado, lo que podr\u00eda provocar la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>Se ha solucionado en la versi\u00f3n 4.7.8, junto con una falla de omisi\u00f3n de autenticaci\u00f3n de alta gravedad (CVE-2024-7781, puntuaci\u00f3n CVSS: 8.1) que &#8220;hace posible que atacantes no autenticados inicien sesi\u00f3n como el primer usuario en iniciar sesi\u00f3n&#8221;. con una cuenta de redes sociales, incluidas cuentas de administrador&#8221;, Wordfence <a rel=\"nofollow noopener\" href=\"https:\/\/www.wordfence.com\/blog\/2024\/09\/90000-wordpress-sites-affected-by-arbitrary-file-upload-and-authentication-bypass-vulnerabilities-in-jupiter-x-core-wordpress-plugin\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/wordpress-litespeed-cache-plugin.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 de octubre de 2024\ue804Ravie LakshmananSeguridad\/vulnerabilidad del sitio web Se ha revelado una nueva falla de seguridad de<\/p>\n","protected":false},"author":1,"featured_media":1388655,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,90105,4664,51458,38,4013,2503,201033,233028,36,4654,201031,4659,4653,4655,42,246983,255454,246984,3260,201032,246982,4660,51459,256806],"class_list":["post-1388654","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-cache","tag-como-hackear","tag-complemento","tag-del","tag-expone","tag-falla","tag-las-noticias-de-los-piratas-informaticos","tag-litespeed","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-sitios","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software","tag-wordpress","tag-xss"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1388654","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1388654"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1388654\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1388655"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1388654"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1388654"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1388654"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}