El plugin de WordPress LiteSpeed Cache, con más de cuatro millones de instalaciones, presenta una vulnerabilidad XSS que permitiría a un atacante robar información sensible, de acuerdo con lo publicado por Patchstack. El fallo ha sido denominado CVE-2023-4000, reside en la función update_cdn_status y también podría ser empleada por actores amenaza para escalar privilegios en el site de WordPress usando una petición HTTP. Asimismo, Patchstack estima que para mitigar esta vulnerabilidad sería suficiente con sanear la entrada del usuario usando esc_html, ya que el fallo se da porque el código del plugin construye un valor HTML directamente desde el parámetro POST al mensaje del administrador. Sin embargo, desde WordPress se ha publicado un parche que limita el acceso a la función solo a usuarios con los privilegios necesarios para ello.
Leer más »
Tomado del Boletín de Noticias de Ciberseguridad – Global 28/02/2024
2024 © Telefónica Cyber Security & Cloud Tech S.L.U.
Pregunta por nuestro servicio de mantenimiento y soporte
Nosotros ofrecemos un servicio de Webmaster, para que no tengas que lidiar con los problemas asociados a este tipo de amenazas. Incluímos:
✅ Backup semanal de todo el sitio web.
✅ Actualización de plugins 1 vez a la semana.
✅ Monitoreo de salud del hosting.
✅ Actualización de core de WordPress en cuanto salga una versión nueva.
✅ Hasta 4 horas de soporte técnico para cambios o ajustes de contenidos.
0 comentarios