Gravedad: Crítica
Fecha de publicación: 1 de septiembre de 2020
Última revisión: Revisión A.
Fuente: https://seravo.com/
Sistemas Afectados
WordPress
WP File Manager
WP File Manager Pro
I. Descripción
El líder del equipo de sistemas y mantenimiento de wordpres VILLE KORHONEN, alerto de una falla critica que pone en peligro a muchos clientes. En su investigación se descubrió rápidamente que había una vulnerabilidad de seguridad grave de “0 días” en el complemento de WordPress WP File Manager que permitía a los atacantes cargar archivos arbitrarios y ejecutar código remoto en cualquier sitio de WordPress con este complemento instalado.
En la investigación se cree que tanto la versión WP File Manager y WP File Manager Pro, también son afectadas teniendo un aproximado de 700k de instalaciones activas y populares entre los usuarios de wordpress.
Gracias a la colaboración de Seravo, el autor del complemento pudo desarrollar rápidamente una actualización de seguridad que ya puede ser descarga.
Si requieren saber más del funcionamiento e investigación pueden ir a: https://seravo.com/blog/0-day-vulnerability-in-wp-file-manager/
II. Impacto
Un atacante podría potencialmente hacer lo que quiera: robar datos privados, destruir el sitio o usar el sitio web para montar más ataques en otros sitios o la infraestructura.
III. Referencia a soluciones, herramientas e información
Se recomienda urgentemente a todos los que utilicen este complemento actualizar a la última versión 6.9 de WP File Manager,o alternativamente, desinstalar el complemento (desactivar el complemento no es suficiente para protegerse contra esta vulnerabilidad).
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa