Siglo XXI. Diario digital independiente, plural y abierto. Noticias y opinión
Viajes y Lugares Tienda Siglo XXI Grupo Siglo XXI
21º ANIVERSARIO
Fundado en noviembre de 2003
Tecnología

Una falla en LiteSpeed Cache de WordPress permite inyectar código malicioso y crear cuentas de usuario con privilegios

miércoles, 8 de mayo de 2024, 16:35 h (CET)
Una falla en LiteSpeed Cache de WordPress permite inyectar código malicioso y crear cuentas de usuario con privilegios
MADRID, 8 (Portaltic/EP)
Ciberdelincuentes han aprovechado una vulnerabilidad en versiones antiguas del 'plugin' de WordPress LiteSpeed Cache, con el que han logrado crear cuentas de usuario con privilegios de administrador y obtener el control de algunos sitios web.

LiteSpeed Cache es un complemento de almacenamiento en caché empleado en WordPress que ayuda a acelerar la carga de páginas, mejorar la experiencia de navegación y la clasificación en la Búsqueda de Google, entre otras funcionalidades.

Investigadores del equipo de seguridad de Automattic, WPScan, advirtieron en abril que actores de amenazas estaban empleando una vulnerabilidad presente en versiones anteriores a 5.7.0 del 'plugin'.

Esta falla de secuencias de comandos entre sitios no autentificados, calificada de gravedad alta (8.8) y rastreada como CVE-2023-40000, permitía a los ciberdelincuentes inyectar lenguaje JavaScript malicioso en archivos de WordPress o en la base de datos de la plataforma.

A su vez, permitía crear usuarios de WordPress con privilegios de administrador. Estos, identificados como 'wpsupp-user' y 'wp-configuser', tenían privilegios para mosificar el contenido y la configuración de estas webs, así como instalar complementos y permetrar ataques de 'malware'.

RACHA DE VULNERABILIDADES
Cabe decir que esta falla se suma a otras registradas en los últimos meses en WordPress. Una de las más recientes está relacionada con el complemento WP Automatic, que registró una vulnerabilidad grave de inyección SQL. Esta permitía a los actores maliciosos crear cuentas de administradores para acceder a la base de datos del sitio web y cargar código.

LayerSlide, el complemento empleado en WordPress para crear contenido animado en sitios web, también llegó a poner en riesgo a más de un millón de webs al incorporar una vulnerabilidad que permitía acceder a información personal de los usuarios desde su base de datos.

También hace unas semanas el complemento Forminator registró varias vulnerabilidades, entre ellas una crítica, que permitía a los actores maliciosos realizar cargas de archivos en el servidor a través de este 'plugin'.
Noticias relacionadas

El 90% de los usuarios prefieren el móvil para hacer fotos y así dicen los expertos que debe ser la cámara perfecta

Dinero por un 'Me Gusta' en YouTube: la estafa de empleo que acecha en WhatsApp

Bruselas da un ultimátum a Microsoft para que responda por el riesgo de su IA para la difusión de bulos electorales

El reproductor multimedia Winamp abrirá su código fuente el 24 de septiembre

Google logra reducir la pornografía 'deepfake' en los resultados de búsqueda, según Similarweb

 
Quiénes somos  |   Sobre nosotros  |   Contacto  |   Aviso legal  |   Suscríbete a nuestra RSS Síguenos en Linkedin Síguenos en Facebook Síguenos en Twitter   |  
© 2024 Diario Siglo XXI. Periódico digital independiente, plural y abierto | Director: Guillermo Peris Peris