Comentarios – El complemento wpDiscuz de WordPress contiene una vulnerabilidad crítica - ES


Se descubrió una vulnerabilidad crítica en el complemento Comentarios - wpDiscuz WordPress que se ha instalado en más de 80,000 sitios. La vulnerabilidad ya ha sido reparada.

Las versiones afectadas del complemento incluyen versiones 7.0.0 - 7.0.4. Según los investigadores de Wordfence, la vulnerabilidad permitió a atacantes no autenticados cargar archivos arbitrarios, incluyendo archivos PHP, realizando así la ejecución remota de código en el servidor del sitio vulnerable.

Después de contactar a los desarrolladores del complemento, los investigadores proporcionaron detalles completos de divulgación, y finalmente se puso a disposición un parche. Los sitios afectados deben actualizarse a la versión 7.0.4 de los Comentarios - plugin wpDiscuz para evitar cualquier compromiso.

Más sobre los comentarios - Vulnerabilidad del complemento wpDiscuz

La vulnerabilidad, descrito como carga arbitraria de archivos, se introdujo en la última actualización de la versión principal del complemento, Wordfence dice. La falla ha recibido una puntuación CVSS de 10, haciéndolo altamente crítico ya que podría conducir a ataques de ejecución remota de código en el servidor del sitio afectado. Propietarios del sitio que ejecutan cualquier versión de 7.0.0 a 7.0., debería considerar actualizar a la versión parcheada, 7.0.5, tan pronto como sea posible.

wpDiscuz, que se ha instalado en miles de sitios de WordPress, es un complemento para áreas de comentarios receptivos. El complemento está diseñado para permitir a los usuarios discutir temas y personalizar sus comentarios con la ayuda de un editor de texto enriquecido. En las últimas versiones 7.x.x del complemento, los desarrolladores agregaron la capacidad de incluir archivos adjuntos de imágenes en los comentarios cargados en el sitio en particular. Esta nueva adición, sin embargo, no tenía las protecciones de seguridad adecuadas, creando así el problema crítico.


Lea también Unsplash Plugin para WordPress: Integración perfecta para todos los sitios web


Cabe señalar que los comentarios de wpDiscuz están diseñados con la intención de permitir solo archivos adjuntos de imágenes. “sin embargo, debido a las funciones de detección de tipo mime de archivo que se usaron, la verificación del tipo de archivo podría pasarse por alto fácilmente, Permitiendo a los usuarios no autenticados la posibilidad de cargar cualquier tipo de archivo, incluyendo archivos PHP,” Wordfence explica.

A principios de este mes, el mismo equipo de investigadores de seguridad reportó una vulnerabilidad en otro complemento de WordPress. los KingComposer WordPress plugin se encontró que contenía varias vulnerabilidades que podrían conducir al control de acceso sobre sitios comprometidos. El complemento se ha instalado en más de 100,000 sitios. Los investigadores descubrieron una secuencia de comandos cruzada reflejada sin parches (XSS) falla en el complemento KingComposer, identificado como CVE-2020-15299.

Investigado y creado por:
Krum Popov
Apasionado emprendedor web, ha estado elaborando proyectos web desde 2007. En 2020, fundó HTH.Guide, una plataforma visionaria dedicada a agilizar la búsqueda de la solución de alojamiento web perfecta.. Leer más...
Revisado técnicamente por:
Metod Ivanov
Experto experimentado en desarrollo web con 8+ años de experiencia, incluyendo conocimientos especializados en entornos de hosting. Su experiencia garantiza que el contenido cumple con los más altos estándares de precisión y se alinea perfectamente con las tecnologías de alojamiento.. Leer más...

3 Comentarios

  1. Tom

    Todo esta arreglado!
    El problema es 100% arreglado y wpDiscuz es seguro.
    Puede ignorar esto si ya ha actualizado a 7.0.5 o una versión superior (la versión actual es 7.0.6).
    Esto fue corregido y la nueva versión 7.0.5 fue lanzado hace una semana. No hay problemas con la versión actual de wpDiscuz. Sus 100% seguro ahora.
    Este tipo de problemas ocurre con casi todos los complementos de WordPress, así que no hay razón para preocuparse si ha actualizado y actualizado.
    Sigue actualizando tus complementos y asegúrate de estar usando las últimas versiones.

    Gracias!
    Desarrolladores de wpDiscuz

    Responder
  2. Tom

    Y algunos números ...
    Acerca de 50% de los usuarios de wpDiscuz utilizan actualmente versiones 7.x.x. Se trata de 35,000 sitios web.
    30,000 de ellos ya se han actualizado para asegurar 7.0.5 y versiones superiores durante la semana pasada. Y sobre 3,000 los sitios web se actualizan todos los días.
    Por lo tanto, en uno o dos días es casi seguro que no habrá ningún sitio web con una antigüedad no segura 7.0.0 - 7.0.4 versiones y casi todos los sitios web estarán actualizados y seguros.

    Responder
  3. HTH_Editors (Publicaciones Autor)

    Hola,

    Gracias por detenerte! Esperamos que todos los usuarios del complemento ya lo hayan actualizado., y nadie está en riesgo. Como dijiste: Sigue actualizando tus complementos y asegúrate de estar usando las últimas versiones.

    Gracias,
    El equipo de HowToHosting.guide

    Responder

Dejar un comentario

su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *

Este sitio está protegido por reCAPTCHA y Google Política de privacidad y Términos de servicio aplicar.

Este sitio web utiliza cookies para mejorar la experiencia del usuario. Al usar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestro Política de privacidad.
Estoy de acuerdo
En HTH.Guide, Ofrecemos revisiones transparentes de alojamiento web., asegurar la independencia de influencias externas. Nuestras evaluaciones son imparciales ya que aplicamos estándares estrictos y consistentes a todas las revisiones..
Si bien podemos ganar comisiones de afiliados de algunas de las empresas destacadas, Estas comisiones no comprometen la integridad de nuestras reseñas ni influyen en nuestras clasificaciones..
Los ingresos del afiliado contribuyen a cubrir la adquisición de la cuenta., gastos de prueba, mantenimiento, y desarrollo de nuestro sitio web y sistemas internos.
Confíe en HTH.Guide para obtener sinceridad y conocimientos fiables sobre alojamiento.