miércoles, 11 de julio de 2018

Big trouble en Wordpress. Wordpress, hazte con todos

Se ha descubierto un fallo de seguridad bastante importante en Wordpress que permitiría a un atacante hacerse con el control total de un sitio en cuestión de segundos. Estoy programando este post, así que no sé si se habrá parcheado el bug cuando salga, pero a día 29/junio/2018 aún no se ha solucionado.


El equipo de RIPS Technoloies ha descubierto este fallo de seguridad que consiste en aprovechar una de las funciones que en Wordpress se ejecuta en segundo plano y eliminar una fotografía previamente cargada.

El fallo lo que permite es eliminar  cualquier archivo de Wordpress, por lo que un usuario sin privilegios podría hacerse con el control total del sitio. Aquí el vídeo donde se muestra.

Es cierto que se requiere de una cuenta previamente, pero es aquí donde se recuerda que hay que tener mucho cuidado con dejarse usuarios en tus sistemas que ya no trabajen en la organización como ya os conté que pasaba con la Universidad de Córdoba. Porque el caso es que más de un mes después de terminar las prácticas, yo sigo teniendo habilitada la cuenta de administrador.



Es una cuenta de la que ya no estoy pendiente y que en cualquier momento se puede ver  comprometida y yo no darme cuenta.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...