Seguridad WordPress: Plugin InfiniteWP Client con vulnerabilidad

Seguridad WordPress

Plugin InfiniteWP Client vulnerable

Aviso para: Plugin InfiniteWP Client para WordPress
Riesgo de Seguridad: Alto (nivel 8/10)
Nivel de Exploit: Fácil/Remoto
Vulnerabilidad: Escalonamiento de privilegios y vulnerabilidad de Object Injection
Versión corregida: 1.3.8

Si utilizas el plugin InfiniteWP Client en tu sitio web, es hora de actualizarlo. Se descubrió recientemente una vulnerabilidad que permite a un atacante:

1. Deshabilitar a los usuarios de un sitio web al colocar elsitio en modo de mantenimiento.
2. Permite al atacante determinar el contenido de la página de mantenimiento.

¿Cuáles son los riesgos?

Todo sitio utilizando una una versión de InfiniteWP Client anterior a  la versión 1.3.8 está en riesgo. Un atacante podría forzar a tu sitio a mostrar contenido malicioso en lugar de una página legítima.  Pueden forzar a que tu sitio entre en modo de mantenimiento y pueden inyectar alguno de los siguientes:

Javascript o iframe malware
Enlaces Spam
Mensajes de ataque (los famosos «hacked by»).

Adicionalmente, la nueva versión también soluciona la vulnerabilidad de Object Injection. Como siempre, nuestra recomendación es que si utilizas este plugin lo actualices de inmediato.

WordPress es una herramienta formidable. ¡No olvides actualizar tu sitio de manera frecuente!