Vulnerabilidad expone a más de 4 millones de sitios web usando WPBakery

 

El 27 de julio de 2020 el Equipo de Seguridad de Wordfence descubrió una vulnerabilidad en WPBakery, un plugin de WordPress instalado en alrededor de 4.3 millones de sitios web. Este fallo de seguridad hace posible que para atacantes autenticados con el permiso de contribuidor o superior, puedan inyectar código javascript malicioso en las entradas y páginas del sitio web.

El equipo de Wordfence notificó a los creadores del plugin el 28 de julio de 2020 a través de su foro de soporte y comunicaron el 29 de julio de 2020 lo ocurrido al equipo de desarrollo de WPBakery quienes confirmaron que empezarían a trabajar en la solución el 31 de julio de 2020. Después de un largo período de pruebas y parches por parte del equipo de WPBakery, se publicó el parche el 24 de septiembre de 2020.

Se recomienda a todos los que en su sitio web usen WPBakery actualizar a la versión 6.4.1 de inmediato y revisar los usuarios que tengas registrados en especial si tiene nivel de contribuidor o superior en busca de usuarios sospechosos que tengan acceso a su sitio web.

Descripción de la Vulnerabilidad:

Description: Authenticated Stored Cross-Site Scripting (XSS)
Affected Plugin: WPBakery
Plugin Slug: js_composer
Affected Versions: <= 6.4
CVE ID: Pending.
CVSS Score: 6.4 Medium
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Fully Patched Version: 6.4.1
Reference: https://wpscan.com/vulnerabilities/10422

El equipo de seguridad de Wordfence anunció que la prueba de concepto será publicada el 21 de Octubre de 2020, por lo cual los usuarios de este plugin tendrán oportunidad de actualizar el plugin WPBakery a la versión 6.4.1 que es la que corrige la vulnerabilidad.

Para nuestros clientes que tienen contratado el servicio de Mantenimiento de Sitios Web con WordPress, les informamos que sus sitios ya se encuentran actualizados y seguros.

Si tienes un sitio web utilizando WordPress y no sabes si estás protegido, contáctanos y con mucho gusto de apoyaremos con el mantenimiento de tu sitio web.

Fuente: https://www.wordfence.com/blog/2020/10/vulnerability-exposes-over-4-million-sites-using-wpbakery/

Escríbenos