Hace unos días WordPress anunció el lanzamiento de su versión 5.8.3, con la que se corrigen al menos cuatro vulnerabilidades de inyección SQL en el sistema de gestión de contenido (CMS). Al parecer, dos fallas son inyecciones SQL en WP_Meta_Query y en WP_Query.
Un reporte de SonarSource señala el hallazgo de una inyección de objetos que reside en algunas instalaciones multisitio, además de un error de scripts entre sitios (XSS). Las fallas reportadas residen en todas las versiones de WordPress entre 3.7 y 5.8.
La compañía aconseja a los usuarios de WordPress verificar que las actualizaciones automáticas estén habilitadas o bien actualizar sus plataformas manualmente.
Los sitios web de WordPress son un objetivo frecuente para los actores de amenazas, aunque en la mayoría de los casos se dirigen a temas y plugins populares afectados por vulnerabilidades de seguridad. En diciembre pasado, expertos en ciberseguridad reportaron la detección de una campaña masiva en la que más de 1.5 millones de sitios de WordPress fueron objetivo de ataques desplegados a través de unas 16,000 direcciones IP en todo el mundo, tratando de tomar control de las plataformas comprometidas.
Si bien en algunos casos los atacantes solo trataron de explotar vulnerabilidades día cero, en este caso se abusó de algunas debilidades de seguridad conocidas y presentes en al menos cuatro plugins, incluyendo algunos errores recientemente abordados.
Otro incidente importante relacionado con WordPress que salió a la luz recientemente involucró al gigante del hosting web y registro de dominios GoDaddy, que en noviembre reveló una brecha de datos que afectó a 1.2 millones de usuarios de WordPress administrado.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad