Clicky

Actualización urgente de WordPress corrige una falla crítica en el plugin Jetpack

plugin Jetpack de WordPress

Utilizado en millones de sitios, realiza copias de seguridad automáticas en tiempo real y restauraciones sencillas

WordPress ha emitido una actualización automática para corregir una falla crítica en el plugin Jetpack que está instalado en más de cinco millones de sitios.

La vulnerabilidad, que se descubrió durante una auditoría de seguridad interna, reside en una API presente en el plugin desde la versión 2.0, que se lanzó en noviembre de 2012.

"Esta vulnerabilidad podría ser utilizada por los autores en un sitio para manipular cualquier archivo en la instalación de WordPress", dijo Jetpack en un aviso. Se lanzaron 102 nuevas versiones de Jetpack para remediar el error.

Si bien no hay evidencia de que el problema haya sido explotado en la naturaleza, no es raro que las fallas en los populares plugins de WordPress sean aprovechadas por los actores de amenazas que buscan apoderarse de los sitios con fines maliciosos.

El plugin realiza copias de seguridad automáticas en tiempo real y restauraciones sencillas, escaneos de malware y protección contra correo no deseado.

Esta no es la primera vez que las debilidades de seguridad severas en Jetpack han llevado a WordPress a forzar la instalación de los parches.

En noviembre de 2019, Jetpack lanzó la versión 7.9.1 para corregir un defecto en la forma en que el plugin manejaba el código de inserción que existía desde julio de 2017 (versión 5.1).

El desarrollo también se produce cuando Patchstack reveló una falla de seguridad en el plugin premium Gravity Forms que podría permitir que un usuario no autenticado inyecte código PHP arbitrario.

El problema (CVE-2023-28782) afecta a todas las versiones a partir de la 2.7.3 y anteriores. Se ha abordado en la versión 2.7.4, que estuvo disponible el 11 de abril de 2023.

Jesus_Caceres