{"id":1400237,"date":"2024-10-15T05:38:34","date_gmt":"2024-10-15T05:38:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-complemento-jetpack-de-wordpress-soluciona-una-importante-vulnerabilidad-que-afecta-a-27-millones-de-sitios\/"},"modified":"2024-10-15T05:38:39","modified_gmt":"2024-10-15T05:38:39","slug":"el-complemento-jetpack-de-wordpress-soluciona-una-importante-vulnerabilidad-que-afecta-a-27-millones-de-sitios","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-complemento-jetpack-de-wordpress-soluciona-una-importante-vulnerabilidad-que-afecta-a-27-millones-de-sitios\/","title":{"rendered":"El complemento Jetpack de WordPress soluciona una importante vulnerabilidad que afecta a 27 millones de sitios"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los mantenedores del complemento Jetpack WordPress han lanzado una actualizaci\u00f3n de seguridad para remediar una vulnerabilidad cr\u00edtica que podr\u00eda permitir a los usuarios registrados acceder a formularios enviados por otros en un sitio.<\/p>\n

Jetpack, propiedad del fabricante de WordPress Automattic, es un complemento todo en uno<\/a> que ofrece un conjunto completo de herramientas para mejorar la seguridad, el rendimiento y el crecimiento del tr\u00e1fico del sitio. Se utiliza en 27 millones de sitios de WordPress, seg\u00fan su sitio web<\/a>.<\/p>\n

Se dice que Jetpack identific\u00f3 el problema durante una auditor\u00eda de seguridad interna y ha persistido desde la versi\u00f3n 3.9.9, lanzada en 2016.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La vulnerabilidad reside en la funci\u00f3n Formulario de contacto de Jetpack y “podr\u00eda ser utilizada por cualquier usuario que haya iniciado sesi\u00f3n en un sitio para leer los formularios enviados por los visitantes del sitio”, dijo Jeremy Herve de Jetpack. dicho<\/a>.<\/p>\n

Jetpack dijo que trabaj\u00f3 estrechamente con el equipo de seguridad de WordPress.org para actualizar autom\u00e1ticamente el complemento a una versi\u00f3n segura en los sitios instalados.<\/p>\n

La deficiencia se ha solucionado en las siguientes 101 versiones diferentes de Jetpack:<\/p>\n

13.9.1, 13.8.2, 13.7.1, 13.6.1, 13.5.1, 13.4.4, 13.3.2, 13.2.3, 13.1.4, 13.0.1, 12.9.4, 12.8.2, 12.7. 2, 12.6.3, 12.5.1, 12.4.1, 12.3.1, 12.2.2, 12.1.2, 12.0.2, 11.9.3, 11.8.6, 11.7.3, 11.6.2, 11.5.3, 11.4.2, 11.3.4, 11.2.2, 11.1.4, 11.0.2, 10.9.3, 10.8.2, 10.7.2, 10.6.2, 10.5.3, 10.4.2, 10.3.2, 10.2. 3, 10.1.2, 10.0.2, 9.9.3, 9.8.3, 9.7.3, 9.6.4, 9.5.5, 9.4.4, 9.3.5, 9.2.4, 9.1.3, 9.0.5, 8.9.4, 8.8.5, 8.7.4, 8.6.4, 8.5.3, 8.4.5, 8.3.3, 8.2.6, 8.1.4, 8.0.3, 7.9.4, 7.8.4, 7.7. 6, 7.6.4, 7.5.7, 7.4.5, 7.3.5, 7.2.5, 7.1.5, 7.0.5, 6.9.4, 6.8.5, 6.7.4, 6.6.5, 6.5.4, 6.4.6, 6.3.7, 6.2.5, 6.1.5, 6.0.4, 5.9.4, 5.8.4, 5.7.5, 5.6.5, 5.5.5, 5.4.4, 5.3.4, 5.2. 5, 5.1.4, 5.0.3, 4.9.3, 4.8.5, 4.7.4, 4.6.3, 4.5.3, 4.4.5, 4.3.5, 4.2.5, 4.1.4, 4.0.7, 3.9.10<\/em><\/p>\n

Si bien no hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en la naturaleza, existe la posibilidad de que se pueda abusar de ella en el futuro a la luz de su divulgaci\u00f3n p\u00fablica.<\/p>\n

Vale la pena se\u00f1alar que Jetpack implement\u00f3 correcciones similares para otra falla cr\u00edtica en el complemento Jetpack en junio de 2023 que exist\u00eda desde noviembre de 2012.<\/p>\n

El desarrollo se produce en medio de una en curso<\/a> disputar<\/a> entre<\/a> El fundador de WordPress, Matt Mullenweg, y el proveedor de alojamiento WP Engine, y WordPress.org toma el control del complemento Advanced Custom Fields (ACF) de este \u00faltimo para crear su propio tenedor<\/a> llamado Campos personalizados seguros.<\/p>\n

“SCF se ha actualizado para eliminar las ventas adicionales comerciales y solucionar un problema de seguridad”, Mullenweg dicho<\/a>. “Esta actualizaci\u00f3n es lo m\u00e1s m\u00ednima posible para solucionar el problema de seguridad”.<\/p>\n

WordPress no revel\u00f3 la naturaleza exacta del problema de seguridad, pero dijo que tiene que ver con $_REQUEST. Dijo adem\u00e1s que el problema se solucion\u00f3 en la versi\u00f3n 6.3.6.2 de Secure Custom Fields.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Su c\u00f3digo actualmente es inseguro y es un incumplimiento de su deber hacia los clientes decirle a las personas que eviten los campos personalizados seguros hasta que solucionen su vulnerabilidad”, WordPress anotado<\/a>. “Tambi\u00e9n les hemos notificado esto en privado, pero no respondieron”.<\/p>\n

WP Engine, en una publicaci\u00f3n en X, reclamado<\/a> WordPress nunca ha tomado “unilateral y por la fuerza” un complemento desarrollado activamente “de su creador sin consentimiento”.<\/p>\n

En respuesta, WordPress dijo “esto ha sucedido varias veces antes” y que se reserva el derecho<\/a> deshabilitar o eliminar cualquier complemento del directorio, eliminar el acceso de los desarrolladores a un complemento o cambiarlo “sin el consentimiento del desarrollador” en aras de la seguridad p\u00fablica.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n