Un fallo en temas de WordPress deja más de 100.000 sitios vulnerables

Enviado por Daniel Muñoz Egido el Lun, 29/03/2021 - 16:00
Sobre fondo azul un candado con el logotipo de WordPress dentro

Una vulnerabilidad detectada en los temas de WordPress, principalmente en los desarrollados por la compañía Thrive Themes, deja más de 100.000 sitios expuestos a posibles ataques.

El problema de seguridad que ha sido detectado ha sido localizado principalmente en temas y plugins desarrollados por la compañia Thrive Themes. Si bien la compañía ya ha publicado las actualizaciones que solucionan dicha vulnerabilidad, según la compañía de seguridad web Wordfence, este peligroso fallo todavía mantiene a más de 100.000 sitios web que implementan los temas y plugins y temas de esta compañía expuestos a un posible ataque si no se han aplicado dichas actualizaciones.

El problema de seguridad detectado permitiría a un posible atacante subir ficheros a nuestro servidor empleando los temas y plugins de esta compañía, los cuales serían ejecutados posteriormente para instalar virus o spam. Para ello emplearían un api_key vacío del endpoint de la REST API que implementan los productos de esta compañía para integrarse con Zapier.

Thrive Themes publicó la solución a dicho problema el pasado 12 de marzo. Si no hemos actualizado todavía lo podremos hacer fácilmente desde el sistema de actualización de WordPress. A continuación mostramos los recursos que se ven afectados por dicha vulnerabilidad y la versión que debemos aplicar para corregirla:

  • Todos los legacy themes de Thrive Themes, incluidos Rise, Ignition y otros.- Desde la versión 2.0.0 o superior.
  • Thrive Optimize .- Versión 1.4.13.3 o superior.
  • Thrive Comments. .- Versión 1.4.15.3 o superior.
  • Thrive Headline Optimizer.- Versión 1.3.7.3 o superior.
  • Thrive Themes Builder.- Versión 2.2.4 o superior.
  • Thrive Leads .- Versión 2.3.9.4 o superior.
  • Thrive Ultimatum.- Versión 2.3.9.4 o superior.
  • Thrive Quiz Builder.- Versión 2.3.9.4 o superior.
  • Thrive Apprentice.- Versión 2.3.9.4 o superior.
  • Thrive Architect.- Versión 2.6.7.4 o superior.
  • Thrive Dashboard.- Versión 2.3.9.3 o superior.
  • Thrive Ovation.- Versión 2.4.5 o superior.

Recuerda, el problema ha sido detectada y se ha publicado la solución. Ahora está de nuestra mano, como administradores de un sitio web, aplicar dicha actualización para proteger nuestro sitio y a nuestros usuarios. No lo dejes para después, pues ya puede ser tarde.

Podemos encontrar toda la información relativa a este incidente de seguridad en el sitio web de

 

Fuente
Wordfence

Etiquetas

Contenido relacionado

Alerta de seguridad en WordPress 6 [18/10/2022]
WordPress 5.8, actualiziación de seguridad y mantenimiento
WordPress 5.8 Tatum
WordPress 5.7.2, actualización de seguridad
WordPress 5.7.1, actualización de seguridad y mantenimiento