Mas de 200.000 sitios web basados Wordpress están expuestos a ser hackeados por error CSRF


WordPress es un sistema de gestión de contenidos, con licencia pública general (GPL), haciéndolo un software libre, desarrollado en lenguaje PHP con la posibilidad de ejecutar entornos MySQL y Apache. Está enfocado principalmente en la creación de páginas web o Blogs por medio de plantillas prediseñadas, posee diferentes temas personalizables, múltiples herramientas de edición y gran flexibilidad en el diseño debido al constante desarrollo de complementos (Plugins).

La reciente vulnerabilidad de severidad alta [CVE-2020-8417] es de tipo falsificado de petición entre sitios (cross-site request forgery - CSRF), la cual se encuentra en el plugin “Code Snippets” y al ser explotada, puede tomar el control de sitios webs basados Wordpress que estén ejecutando versiones vulnerables del plugin.

El plugin Code Snippets permite a los usuarios ejecutar código sin agregar fragmentos personalizados al archivo “functions.php” de su tema. El plugin también implementa una interfaz gráfica para gestionar los fragmentos, así como activarlos o desactivarlos, similar al menú de plugins de WordPress. Esta vulnerabilidad CSRF puede ser explotada por los atacantes, con el fin de falsificar una petición que provenga de un administrador e inyectar código en un sitio web vulnerable, permitiendo la ejecución de código arbitrario de forma remota en WordPress con instalaciones de Code Snippets vulnerables.

La solución a esta vulnerabilidad fue lanzada el 25 de Enero del presente año, donde los desarrolladores destacan que aún hay más de 200.000 instalaciones activas con las versiones vulnerables de Code Snippets. 

Desde Arkavia Networks recomendamos encarecidamente a los usuarios de WordPress que utilizan el plugin “Code Snippets”, actualizar a su versión 2.14.0 lo antes posible.

Además, sabemos que ningún dispositivo, aplicación, explorador o complemento (plugin) es totalmente seguro, por eso les dejamos las siguientes recomendaciones para mitigar este tipo de vulnerabilidades.
  1. Mantenga sus dispositivos, explorador, aplicaciones y complementos (plugins) actualizados.
  2. Elimine cualquier aplicación, extensión o complemento que no utilice. 
  3. Realice respaldos de su sitio web periódicamente.
  4. Respalde cuando realice cambios importantes en su página web.
  5. Guarde los respaldos en un equipo o dispositivo aislado de la red.



Referencia:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,1,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,3,Ciberataque,4,Cibercrimen,135,Ciberdelincuencia,9,ciberseguridad,141,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,1,Ecommerce,3,elasticsearch,1,Email,2,Emotet,2,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,2,exploit,7,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,1,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,LSASS,1,Macromedia,1,Malware,45,Malwares,32,Maze,1,Messenger,1,MFA,1,Microsoft,37,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,18,RAT,2,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Salt,1,Salud,2,SeguridadTI,1,Servicios,6,Smartphones,29,SMB,5,Software,23,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,34,Vulnerabilidades,76,Web,8,WhatsApp,5,wifi,5,Windows,19,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Mas de 200.000 sitios web basados Wordpress están expuestos a ser hackeados por error CSRF
Mas de 200.000 sitios web basados Wordpress están expuestos a ser hackeados por error CSRF
https://1.bp.blogspot.com/--4cvbfto3iQ/XjQsOhv81-I/AAAAAAAAB1Y/vNJp9odRPUYmENxqvRBll8Lgq7yMt1jEQCLcBGAsYHQ/s1600/WP%2Bvulnerability%2Bcode%2Bsnippets.jpg
https://1.bp.blogspot.com/--4cvbfto3iQ/XjQsOhv81-I/AAAAAAAAB1Y/vNJp9odRPUYmENxqvRBll8Lgq7yMt1jEQCLcBGAsYHQ/s72-c/WP%2Bvulnerability%2Bcode%2Bsnippets.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/01/mas-de-200000-sitios-web-basados.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/01/mas-de-200000-sitios-web-basados.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy