Hay miles de sitios WordPress en riesgo por falla de un plugin. Los investigadores de seguridad han afirmado que un popular plugin contiene muchas fallas de alta gravedad que podrían afectar a decenas de miles de sitios web de WordPress.
LearnPress es un complemento del sistema de gestión de aprendizaje que permite a las personas sin experiencia en codificación vender cursos y lecciones en línea a través de sus sitios web de WordPress. Expertos de PatchStack detectaron tres vulnerabilidades en LearnPress.
Los investigadores advierten que, aunque la solución para las debilidades del creador de sitios web ha estado disponible durante más de un mes, solo una minoría (sustancial) de personas la ha utilizado hasta ahora.
Hay un remedio
Las tres vulnerabilidades en cuestión son
- CVE-2022-47615, una vulnerabilidad que permite a los actores de amenazas ver credenciales, tokens de autenticación, claves API y similares
- CVE-2022-45808, una vulnerabilidad de inyección SQL no autenticada que permite la ejecución de código arbitrario
- CVE-2022-45820, una falla de inyección SQL autenticada que también puede conducir a la filtración de datos y la ejecución de código arbitrario.
Entre el 30 de noviembre y el 2 de diciembre de 2022, PatchStack encontró los errores y los envió rápidamente a LearnPress. El 20 de diciembre, la empresa volvió con un remedio, actualizando LearnPress a la versión 4.2.0. Sin embargo, según las estadísticas de WordPress.org citadas por BleepingComputer, solo el 25% de los sitios web han actualizado el plugin hasta la fecha.
Dado que el plugin está siendo utilizado actualmente por alrededor de 100 000 sitios web, eso elevaría el número total de sitios web aún susceptibles a alrededor de 75 000. Se recomienda a los administradores web que implementen el parche de inmediato o que deshabiliten el plugin hasta que lo hayan hecho, ya que estos son problemas críticos con repercusiones negativas.
Ante la popularidad, implementar la seguridad
WordPress es la plataforma más utilizada para la creación de sitios web, lo que la convierte en un objetivo deseable para los ciberdelincuentes. WordPress es generalmente seguro (menos del 1% de todos los problemas relacionados con WP afectan directamente a la plataforma), pero sus plugins, específicamente los plugins gratis, suelen ser el eslabón más débil.
A pesar de que agregan un montón de funciones adicionales a la plataforma, es crucial que los webmasters elijan las mejores y las mantengan actualizadas.