En esta página: [esconder]
SiteOrigin informó dos vulnerabilidades en el generador de páginas, que es un complemento de WordPress muy popular instalado en más de 1 millones de sitios web.
Las fallas de seguridad se describen como "Falsificación de solicitudes entre sitios para secuencias de comandos reflejadas entre sitios". Podrían permitir a los atacantes falsificar solicitudes en nombre del administrador del sitio para ejecutar código malicioso en el navegador del administrador, decir equipo de Wordfence Threat Intelligence.
¿Cómo se pueden explotar las vulnerabilidades del Creador de páginas por SiteOrigin??
Para explotar las dos vulnerabilidades, un atacante tendría que engañar al administrador del sitio para que realice una acción específica, como hacer clic en un enlace o un archivo adjunto. La buena noticia es que, después de que Wordfence contactó al desarrollador del complemento, se lanzó rápidamente un parche.
Sin embargo, Las vulnerabilidades se consideran de alto riesgo, ya que pueden conducir a una toma de control completa del sitio, si permaneció sin parchear. Para evitar compromisos, Se insta a los administradores del sitio web a parchear el complemento Page Builder a la última versión, cuál es actualmente la versión 2.10.16.
Más acerca del Creador de páginas de SiteOrigin
Este es un complemento diseñado para simplificar la edición de páginas y publicaciones en WordPress. Con eso, los usuarios pueden crear receptivos, contenido basado en columnas, con la ayuda de widgets de WordPress y widgets del complemento SiteOrigin Widgets Bundle.
Adicionalmente, el complemento también cuenta con un editor en vivo incorporado, que ayuda a los usuarios a actualizar el contenido y arrastrar / soltar widgets, y observar los cambios en tiempo real.
En conclusión, dos complementos de seguridad de alto riesgo fueron descubiertos en el generador de páginas por el complemento SiteOrigin que permitía a los atacantes falsificar solicitudes en nombre de un administrador del sitio. Esto podría conducir a la ejecución de código malicioso en el navegador del administrador. por suerte, las dos fallas fueron abordadas y parcheadas en la versión de Page Builder 2.10.16. La recomendación general es que los usuarios actualicen inmediatamente a la última versión del complemento.
La divulgación técnica completa de las vulnerabilidades es disponible.
También lee El día cero crítico en el complemento Elementor Pro pone en riesgo 1M de sitios de WordPress