Fallo crítico en plugin de WordPress permite secuestrar sitios web

12 Noviembre 2018
Bajo

De acuerdo al blog Defiant, atacantes están explotando vulnerabilidades en el plugin GDPR de WordPress para secuestrar sitios web y luego utilizarlos con fines maliciosos.

El plugin es utilizado por usuarios de más de 100 mil sitios de WordPress, con el objetivo de cumplir con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

Lo que hacen específicamente los ciberdelincuentes es aprovecharse del sistema de registro de usuarios en un sitio web, para crear nuevas cuentas de administrador, que luego les otorguen privilegios, entre ellos, deshabilitar el registro de usuarios. Luego inician sesión con su acceso de administrador e instalan backdoors. También pueden aprovechar el error para atacar al programador de tareas WP-Cron de WordPress, inyectándole acciones maliciosas.

Aún no se sabe lo que los hackers pretenden hacer finalmente con los sitios secuestrados, pero las acciones podrían incluir phishing y el envío de spam.

WP GDPR Compliance, desarrollador del plugin, ya parchó la falla crítica. Se recomienda actualizar a la versión 1.4.3 o en su defecto, deshabilitar o eliminar el complemento.


Tags: #wordpress #gdpr #plugin #phishing #spam #privesc
  • Productos Afectados
  • Producto Versión
    GDPR Compliance 1.4.2 y anteriores.


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.