Descubierto por el equipo de Sucuri, WP Statistics es vulnerable a una falla de inyección de SQL que permite a un atacante remoto, con al menos una cuenta de suscriptor, robar información sensible y obtener acceso no autorizado a sitios web.
La vulnerabilidad reside en múltiples funciones, incluyendo wp_statistics_searchengine_query() en el archivo includes/functions/functions.php. Esta función es accesible a través de la funcionalidad AJAX de WordPress wp_ajax_parse_media_shortcode().
"Esta vulnerabilidad es causada por la falta de sanitización en los datos proporcionados por los usuarios", dijeron los investigadores. La función vulnerable no comprueba los privilegios, lo que permite a los suscriptores del sitio web ejecutar este código e inyectar código malicioso a sus atributos.
Los investigadores de Sucuri divulgaron en privado la falla al equipo de WP Statistics y el equipo corrigió la vulnerabilidad en su última versión WP Statistics 12.0.8.
Por lo tanto, si tiene una versión vulnerable del complemento y su sitio web permite el registro de usuario, usted está definitivamente en riesgo, y debe instalar la última versión lo antes posible.
Fuente: The Hacker News
Cristian te sumo un dato, no es la primera vez que WP Statistics tiene algún problema de seguridad. Podrían revisar en https://wpvulndb.com/search?utf8=%E2%9C%93&text=WP+Statistics y siempre estar atentos a estos antecedentes.
ResponderBorrarGracias!
BorrarTengo un sitio y cada dia aparece en el login cambiado "INDOXPLOIT" como lo puedo solucionar?
ResponderBorrar