{"id":6165,"date":"2023-07-04T18:19:25","date_gmt":"2023-07-04T18:19:25","guid":{"rendered":"https:\/\/topwebpuebla.com\/?p=6165"},"modified":"2023-07-04T18:19:25","modified_gmt":"2023-07-04T18:19:25","slug":"vulnerabilidad-en-el-plugin-ultimate-member-de-wordpress","status":"publish","type":"post","link":"https:\/\/topwebpuebla.com\/blog\/vulnerabilidad-en-el-plugin-ultimate-member-de-wordpress\/","title":{"rendered":"Vulnerabilidad en el plugin Ultimate Member de WordPress permite la adquisici\u00f3n completa del sitio"},"content":{"rendered":"

<\/ins><\/p>\n

Vulnerabilidad en el plugin Ultimate Member de WordPress permite la adquisici\u00f3n completa del sitio<\/h1>\n

La vulnerabilidad<\/h2>\n

La vulnerabilidad en el complemento de WordPress con m\u00e1s de 200,000 instalaciones activas permite la toma completa del sitio con solo un esfuerzo \u00abtrivial\u00bb.<\/p>\n

La vulnerabilidad del complemento Ultimate Member WordPress, con m\u00e1s de 200,000 instalaciones activas, se est\u00e1 explotando activamente en sitios de WordPress sin parches. Se dice que la vulnerabilidad requiere un esfuerzo trivial para eludir los filtros de seguridad.<\/p>\n

Vulnerabilidad del plugin Ultimate Member<\/h2>\n

El complemento Ultimate Member WordPress permite a los editores crear comunidades en l\u00ednea en sus sitios web.<\/p>\n

El complemento funciona mediante la creaci\u00f3n de un proceso fluido para el registro de usuarios y la creaci\u00f3n de perfiles de usuario. Es un complemento popular especialmente para sitios de membres\u00eda.<\/p>\n

La versi\u00f3n gratuita del complemento tiene un generoso conjunto de funciones que incluye:<\/p>\n

Los perfiles de usuario front-end, el registro, el inicio de sesi\u00f3n y los editores tambi\u00e9n pueden crear directorios de miembros.<\/p>\n

El complemento tambi\u00e9n conten\u00eda una falla cr\u00edtica que permit\u00eda a un visitante del sitio crear perfiles de miembros con privilegios esencialmente de nivel de administrador.<\/p>\n

La base de datos de seguridad de WPScan describe la gravedad de la vulnerabilidad: https:\/\/wpscan.com\/vulnerability\/694235c7-4469-4ffd-a722-9225b19e98d7<\/b><\/a><\/p>\n

Actualizaci\u00f3n de seguridad fallida<\/h2>\n

La vulnerabilidad se descubri\u00f3 a fines de junio de 2023 y los editores de Ultimate Member respondieron r\u00e1pidamente con un parche para cerrar la vulnerabilidad.<\/p>\n

Ese parche para la vulnerabilidad se emiti\u00f3 en la versi\u00f3n 2.6.5, publicada el 28 de junio.<\/p>\n

Sin embargo, esa soluci\u00f3n no solucion\u00f3 completamente la vulnerabilidad y los piratas inform\u00e1ticos continuaron explot\u00e1ndola en los sitios web.<\/p>\n

Los investigadores de seguridad de Wordfence analizaron el complemento y determinaron el 29 de junio que el parche no funcionaba, describiendo sus hallazgos en una publicaci\u00f3n de blog:<\/p>\n

El problema era tan grave que Wordfence describi\u00f3 el esfuerzo necesario para piratear el complemento como trivial.<\/p>\n

El nivel de usuario de Administrador es el nivel de acceso m\u00e1s alto de un sitio de WordPress.<\/p>\n

Lo que hace que este exploit sea especialmente preocupante es que pertenece a una clase llamada \u00abEscalada de privilegios no autenticados\u00bb, lo que significa que un pirata inform\u00e1tico no necesita ning\u00fan nivel de acceso al sitio web para piratear el complemento.<\/p>\n

Ultimate Member se disculpa<\/h2>\n

El equipo de Ultimate Member public\u00f3 una disculpa p\u00fablica a sus usuarios en la que proporcion\u00f3 un recuento completo de todo lo que sucedi\u00f3 y c\u00f3mo respondieron.<\/p>\n

Cabe se\u00f1alar que la mayor\u00eda de las empresas emiten un parche y se quedan calladas. Por lo tanto, es encomiable y responsable que Ultimate Member sea sincero con sus clientes sobre los incidentes de seguridad.<\/p>\n

Se insta a los usuarios del plugin a actualizarlo inmediatamente<\/h3>\n

Los investigadores de seguridad de WPScan insta a todos los usuarios del complemento a actualizar inmediatamente sus sitios a la versi\u00f3n 2.6.7.<\/p>\n

Un anuncio especial de las notas de WPScan:<\/p>\n

\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"Notas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/p>\n

Los investigadores de seguridad de WPScan insta a todos los usuarios del complemento a actualizar inmediatamente sus sitios a la versi\u00f3n 2.6.7.<\/p>\n

Un anuncio especial de las notas de WPScan:<\/p>\n

Esta vulnerabilidad tiene una calificaci\u00f3n de 9,8 en una escala del 1 al 10, siendo diez el nivel m\u00e1s grave.<\/p>\n

Se recomienda encarecidamente que los usuarios del complemento actualicen inmediatamente.<\/p>\n

<\/ins><\/p>\n","protected":false},"excerpt":{"rendered":"

Vulnerabilidad en el plugin Ultimate Member de WordPress permite la adquisici\u00f3n completa del sitio La vulnerabilidad La vulnerabilidad en el complemento de WordPress con m\u00e1s de 200,000 instalaciones activas permite la toma completa del sitio con solo un esfuerzo \u00abtrivial\u00bb. La vulnerabilidad del complemento Ultimate Member WordPress, con m\u00e1s de 200,000 instalaciones activas, se est\u00e1 … Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":6179,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[44,45],"tags":[],"class_list":["post-6165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-wordpress"],"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/posts\/6165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/comments?post=6165"}],"version-history":[{"count":0,"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/posts\/6165\/revisions"}],"wp:attachment":[{"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/media?parent=6165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/categories?post=6165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/topwebpuebla.com\/blog\/wp-json\/wp\/v2\/tags?post=6165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}