{"id":13362,"date":"2016-05-25T00:22:24","date_gmt":"2016-05-24T22:22:24","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=13362"},"modified":"2020-08-28T03:36:23","modified_gmt":"2020-08-28T01:36:23","slug":"vulnerabilidad-en-wp-fastest-cache","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/vulnerabilidad-en-wp-fastest-cache\/","title":{"rendered":"Vulnerabilidad en WP Fastest Cach\u00e9"},"content":{"rendered":"
Esta es la entrada que publicamos en El Taller del Bit despu\u00e9s de recibir el aviso de alerta de Wordfence.\u00a0Sigue leyendo para conocer todos los detalles En la p\u00e1gina de Wordfence donde avisan de las vulnerabilidades descubiertas en WP Fastest\u00a0Cach\u00e9<\/a>, Dan Moen afirma que la \u00faltima versi\u00f3n del plugin incluye un parche para la vulnerabilidad, pero entonces, \u00bfhemos de actualizarlo manualmente por FTP? …<\/p>\n El autor del plugin hace oidos sordos a las preguntas de los usuarios en la p\u00e1gina del plugin en WordPress.org (los usuarios preguntan lo mismo: si el plugin est\u00e1 actualizado… \u00bfd\u00f3nde est\u00e1 la nueva actualizaci\u00f3n?):<\/p>\n
\n
\nATENCI\u00d3N: PLUGIN REALMENTE ACTUALIZADO Y PARCHEADO (26\/05\/2016 23:15 p.m. Hora de Espa\u00f1a)<\/span>
\n
\n
\n
\nEn este caso se ha detectado en WP Fastest Cach\u00e9 :<\/p>\nUna vulnerabilidad de inclusi\u00f3n de archivo local<\/strong> y una\u00a0vulnerabilidad de las opciones de actualizaci\u00f3n<\/strong>.<\/h3>\n
\n La vulnerabilidad de inclusi\u00f3n de archivo local<\/strong> permite a un atacante ejecutar c\u00f3digo en el servidor web de destino o en el navegador de un visitante del sitio. Esto permite al atacante robar o manipular datos, llevar a cabo un ataque de denegaci\u00f3n de servicio o habilitar los tipos de ataques adicionales, tales como Cross Site Scripting. Wordfence Firewall proporciona protecci\u00f3n contra este tipo de ataque antes de haber sido descubierto.
\n
\nLa vulnerabilidad en las opciones de actualizaci\u00f3<\/strong>n permite a un atacante acceder y realizar cambios en las opciones de CDN (Content Delivery Network) de la p\u00e1gina web. Con este control, un atacante puede dirigir todas las peticiones de archivos CSS, im\u00e1genes, v\u00eddeos, etc. a su sitio, lo que les permite servir contenido malicioso a los visitantes del sitio vulnerable.
\n
\nSi bien se supone que el autor del plugin lo ha actualizado, todos los usuarios se preguntan qu\u00e9 ocurre, puesto que en el gestor de actualizaciones de WordPress no aparece ninguna actualizaci\u00f3n pendiente para el plugin, y la versi\u00f3n del plugin sigue siendo la misma que hace 21 dias, la 0.8.5.7.<\/p>\n