¡Atención, administradores de WordPress! Es hora de actualizar sus sitios web a la última versión del complemento Beautiful Cookie Consent Banner, ya que los desarrolladores han solucionado una falla grave de secuencias de comandos entre sitios (XSS).
Los investigadores del equipo de Wordfence han descubierto una grave vulnerabilidad de secuencias de comandos entre sitios en el complemento de administración de cookies de WordPress. Según su artículo, explotar el complemento podría permitir que un adversario cree redireccionamientos maliciosos desde sitios web de destino y agregue cuentas de administrador maliciosas.
Específicamente, la falla XSS afectó la configuración nsc_bar_content_href de Beautiful Cookie Consent Banner versiones 2.10.1 y anteriores. La vulnerabilidad existía debido a la desinfección insuficiente del escape de entrada y salida, lo que permitía inyecciones de scripts maliciosos para dirigirse a páginas web.
Por lo tanto, los scripts redirigirían a los visitantes a páginas web maliciosas, dañando la seguridad de los visitantes y la credibilidad del sitio simultáneamente.
Según Wordfence, esta vulnerabilidad desafortunadamente llamó la atención de los adversarios antes de recibir una solución. Los investigadores notaron que la campaña maliciosa aprovechó la falla cuando el firewall de Wordfence bloqueó alrededor de 3 millones de ataques contra 1,5 millones de sitios desde mayo de 2023. El patrón de ataque sugiere la presencia de un solo actor de amenazas que lidera la campaña. Sin embargo, los investigadores no pudieron identificar al atacante exacto detrás de esto.
Sin embargo, después de detectar el problema, los investigadores informaron el problema a los desarrolladores del complemento, quienes luego lanzaron la solución completa con la versión 2.10.2 del complemento. Wordfence otorgó a esta vulnerabilidad de día cero una calificación de gravedad alta con una puntuación CVSS de 7,2.
La página oficial de WordPress del complemento tiene más de 40,000 instalaciones activas, lo que indica cómo las versiones vulnerables del complemento están poniendo en riesgo a miles de sitios web en todo el mundo. Por lo tanto, es fundamental que los administradores de WordPress se aseguren de que sus sitios estén actualizados con las últimas versiones de complementos para evitar sufrir ataques maliciosos.
El registro de cambios del complemento muestra la versión actual del complemento como 2.13.0. Entonces, idealmente, los administradores de sitios deberían actualizar sus sitios web a esta versión para recibir todas las correcciones de errores de los desarrolladores.
Háganos saber sus pensamientos en los comentarios.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…