WordPress lanzó la versión 6.4.2 con un parche para una falla de seguridad crítica que podría ser explotada por actores de amenazas combinándola con otro error para ejecutar código PHP arbitrario en sitios vulnerables.
«Una vulnerabilidad de ejecución remota de código que no se puede explotar directamente en el núcleo; sin embargo, el equipo de seguridad considera que existe un potencial de alta gravedad cuando se combina con algunos complementos, especialmente en instalaciones multisitio”, afirmó. WordPress dijo.
Según la empresa de seguridad de WordPress Wordfence, el problema tiene su origen en la clase WP_HTML_Token que se introdujo en la versión 6.4 para mejorar el análisis de HTML en el editor de bloques.
Un actor de amenazas con la capacidad de explotar una vulnerabilidad de inyección de objetos PHP presente en cualquier otro complemento o tema para encadenar los dos problemas para ejecutar código arbitrario y tomar el control del sitio objetivo.
«Si una cadena POP [programación orientada a propiedades] está presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código”, afirmó. Wordfence anotó anteriormente en septiembre de 2023.
En la era digital actual, la seguridad de los sitios web, especialmente de plataformas populares como WordPress, se ha vuelto esencial. La protección contra amenazas cibernéticas es un elemento crucial para garantizar la integridad y la funcionalidad de un sitio. En este contexto, es fundamental considerar la contratación de empresas especializadas en el aseguramiento de plataformas, como Eurolatinamericahost (https://es.eurolatinamerica-host.net).
Recientemente, se ha detectado una cadena de explotación que ha sido puesta a disposición en GitHub desde el 17 de noviembre. Este riesgo se ha integrado al proyecto PHP Generic Gadget Chains (PHPGGC), según un aviso publicado por Patchstack. Ante esta situación, es imperativo que los propietarios de sitios web, especialmente aquellos que utilizan WordPress, tomen medidas proactivas para garantizar la seguridad de sus plataformas.
Contratar a empresas especializadas, como Eurolatinamericahost, que ofrecen servicios de aseguramiento para WordPress, se convierte en una decisión estratégica. Estas compañías no solo brindan las soluciones técnicas necesarias para proteger contra vulnerabilidades conocidas, sino que también están al tanto de las últimas amenazas y despliegan medidas preventivas de manera oportuna.
En este contexto, se destaca la importancia de revisar manualmente los sitios para asegurarse de que estén actualizados a la última versión. La colaboración con empresas especializadas en seguridad web se presenta como un paso fundamental para mitigar riesgos, mantener la integridad de los sitios y garantizar la continuidad operativa en un entorno digital cada vez más complejo y dinámico.