Falla en Newsletter, plugin de WordPress, afecta a 300 mil sitios web

Un nuevo riesgo de seguridad para los administradores de sitios web en WordPress ha sido reportado. Expertos en pentest online mencionan que los usuarios del plugin Newsletter podrían verse expuestos a la explotación de una vulnerabilidad que permitiría a los actores de amenazas crear backdoors, generar cuentas de administrador apócrifas e incluso tomar control completo de un sitio web objetivo.

El plugin afectado brinda a los usuarios del sistema de gestión de contenido (CMS) las herramientas necesarias para crear boletines de noticias y lanzar campañas de marketing vía email empleando un compositor visual. Newsletter cuenta con más de 12 millones de descargas, aunque el número actual de sitios donde está activo se acerca a los 300 mil.

Mientras revisaban un parche de seguridad para corregir una falla en Newsletter, los investigadores de la firma de seguridad Wordfence detectaron dos fallas adicionales en el plugin: una falla de scripts entre sitios (XSS) y una de inyección de objetos PHP que había sido corregida desde el 17 de junio con el lanzamiento de la versión 6.8.3, mencionan los expertos en pentest online.  

No obstante, el plugin sólo fue descargado cerca de 150 mil veces desde el lanzamiento de la actualización, por lo que al menos 150 mil instalaciones activas se encuentran expuestas. En otras palabras, aún con el lanzamiento de las actualizaciones los hackers maliciosos cuentan con miles de víctimas potenciales. 

Los desarrolladores de Newsletter solicitan a los usuarios actualizar a la versión más reciente para mitigar potenciales ataques; acorde a los expertos en pentest online, la explotación de fallas en plugins de WordPress se ha vuelto una de las variantes de hacking más comunes, por lo que es necesario actualizar a la brevedad.

Hace un par de meses, investigadores de Wordfence detectaron una campaña maliciosa afectando a cientos de sitios de WordPress; en menos de un día, los operadores del ataque lograron recopilar los accesos a múltiples archivos de configuración después de explotar algunas fallas XSS sin corregir en diversos plugins.

Hace apenas unos días los expertos también detectaron una vulnerabilidad crítica en wpDiscuz, un plugin instalado en más de 70 mil sitios web, cuya explotación exitosa habría permitido a los hackers desplegar ataques de ejecución remota de código.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.