Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en Popular Posts, un plugin para el sistema de gestión de contenido (CMS) WordPress. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas desplegar múltiples escenarios de riesgo.
Identificada como CVE-2021-42362, esta falla existe debido a la validación inadecuada de archivos durante la carga en ~/src/Image.php, lo que permitiría a los actores de amenazas remotos cargar un archivo malicioso para su ejecución en el servidor comprometido.
La falla recibió un puntaje 7.7/10 según el Common Vulnerability Scoring System (CVSS) y su explotación exitosa pondría en riesgo todo el sistema vulnerable, según mencionan los expertos.
A continuación se muestran todas las versiones afectadas de WordPress Popular Posts: 1.0, 1.0.0, 1.1, 1.1.0, 1.2, 1.2.0, 1.3, 1.3.0, 1.3.1, 1.3.2, 1.4.0, 1.4.1, 1.4.2, 1.4.3, 1.4.4, 1.4.5, 1.4.6, 1.5.0, 1.5.1, 1.5.2, 2.0.0, 2.0.1, 2.0.2, 2.0.3, 2.1.0, 2.1.1, 2.1.2, 2.1.3, 2.1.4, 2.1.5, 2.1.6, 2.2.0, 2.2.1, 2.3.0, 2.3.1, 2.3.2, 2.3.3, 2.3.4, 2.3.5, 2.3.6, 2.3.7, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.1.0, 3.1.1, 3.1.2, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.3.0, 3.3.1, 3.3.2, 3.3.3, 3.3.4, 4.0.0, 4.0.1, 4.0.2, 4.0.3, 4.0.5, 4.0.6, 4.0.7, 4.0.8, 4.0.9, 4.0.10, 4.0.11, 4.0.12, 4.0.13, 4.1.0, 4.1.1, 4.1.2, 4.2.0, 4.2.1, 4.2.2, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1, 5.2.2, 5.2.3, 5.2.4, 5.3.0, 5.3.1 y 5.3.2.
Si bien la vulnerabilidad podría ser explotada de forma remota por hackers maliciosos no autenticados, los investigadores mencionan que hasta el momento no se han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque. Aún así, se recomienda a los administradores de implementaciones afectadas actualizar a la brevedad para mitigar completamente el riesgo de explotación; las actualizaciones ya están disponibles.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
