Fallo de seguridad en el Core de Wordpress todavía sin parchear

Los investigadores de RIPS, revelaron ayer los detalles del fallo de seguridad que impactan Wordpress hasta la última versión 4.9.6 . Esta vulnerabilidad también ha sido confirmada por Sucuri.

Para poder explotarse, es necesario el acceso al editor de posts donde es posible insertar código malicioso en la web de Wordpress con la capacidad de eliminar ficheros cruciales del core. Esto no debería de ser posible sin el servidor FTP.

La severidad de esta vulnerabilidad se ve reducida debido a que los usuarios necesitan cierto nivel de acceso (Autor o mayor) para poder explotar el bug. Sin embargo, si la página web es vulnerable a una escalada de privilegios, el atacante puede aprovechar este bug para insertar código malicioso y eliminar ficheros importantes como wp-config.php. Si se borra este fichero, se reiniciará el proceso de instalación.

Este bug afecta a todas las versiones de Wordpress, incluyendo la versión 4.9.6, aunque el equipo de RIPS añadió un Hotfix temporal para solucionarlo.

Fuente: Bleeping Computer