WordPress fuerza a 5 millones de webs a actualizar tras una vulnerabilidad detectada en el plugin Jetpack

🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]

WordPress acaba de forzar la instalación de un parche en más de cinco millones de sitios web en un intento de mantenerlos a salvo de un fallo de alta gravedad descubierto recientemente.

El fallo se encontró en Jetpack, uno de los plugins más populares del famoso constructor de sitios web, que ofrece funciones adicionales de seguridad, rendimiento y gestión de sitios web.

Según la empresa matriz de WordPress, Automattic, el plugin tiene más de cinco millones de instalaciones activas, y los administradores lo utilizan para hacer copias de seguridad de sus sitios, para protegerse contra ataques de fuerza bruta, para escanear ataques de malware y mucho más.

«Durante una auditoría de seguridad interna, encontramos una vulnerabilidad con la API disponible en Jetpack desde la versión 2.0, lanzada en 2012», dijo Auttomatic. «Esta vulnerabilidad podría ser utilizada por los autores de un sitio para manipular cualquier archivo de la instalación de WordPress».

A 30 de mayo, Jetpack 12.1.1 se había descargado e instalado en más de 4.350.000 sitios web, según datos oficiales de WordPress. Esto supone aproximadamente el 45% de todos los sitios web que corren con WordPress. Al parecer, la mayoría de los sitios web activos han sido parcheados.

No hay indicios de que se esté abusando de este fallo, pero que esto probablemente cambiará una vez que la vulnerabilidad se haga pública. «No tenemos constancia de que esta vulnerabilidad haya sido explotada. Sin embargo, ahora que se ha publicado la actualización, es posible que alguien intente aprovecharse de esta vulnerabilidad», añadió.

La última vez que WordPress forzó la instalación de una actualización importante fue hace casi un año, en junio de 2022, cuando solucionó un fallo de alta gravedad en Ninja Forms. El complemento, que contaba con más de un millón de instalaciones en ese momento, permitía a los posibles autores de amenazas hacerse con el control total de un sitio web vulnerable.

A diferencia de la vulnerabilidad de Jetpack, el fallo de Ninja Forms estaba siendo aprovechado, según afirmaban los investigadores en aquel momento. Se instó a los usuarios a asegurarse de que su plugin estaba actualizado a la versión 3.6.11, en caso de que la actualización automática fallara por cualquier motivo.

Dejar un comentario

Tu dirección de e-mail nunca será publicada Los campos requeridos están marcados*

Esta web usa cookies para elaborar información estadística y mostrar publicidad personalizada.

Saber más