Vulnerabilidad en WP Mobile Detector

Vulnerabilidad en WP Mobile Detector

Se tiene noticia de un incremento en el número de sitios infectados con SEO Spam, y la puerta de entrada a este ataque es una vulnerabilidad ya ubicada en el plugin WP Mobile Detector. El plugin tiene una vulnerabilidad Día Cero lo que permite al atacante hacer uso de lo que se conoce como AFU (por sus siglas en inglés), Subida Arbitraria de Archivo. El plugin ha sido ya removido del repositorio de WordPress y no cuenta con un parche disponible.

La vulnerabilidad Día Cero para este plugin fue dada a conocer el 31 de mayo y es muy fácil de explotar. Todo lo que un atacante necesita es enviar una solicitud a resize.php o timthumb.php (que incluye resize.php), dentro del directorio de plugins con la URL backdoor.

Es indispensable que si tu sitio utiliza este plugin lo desactives o lo elimines y busques algún otro plugin que pueda realizar esta misma función.