{"id":2321,"date":"2020-09-03T14:06:52","date_gmt":"2020-09-03T19:06:52","guid":{"rendered":"https:\/\/cert.pa\/?p=2321"},"modified":"2020-09-03T14:53:47","modified_gmt":"2020-09-03T19:53:47","slug":"csirt-panama-aviso-3-09-2020-vulnerabilidad-dia-cero-para-wordpress-wp-file-manager","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2321","title":{"rendered":"Csirt Panam\u00e1 Aviso 3-09-2020 Vulnerabilidad d\u00eda cero para WordPress WP File Manager"},"content":{"rendered":"\n<p><strong>Gravedad: Cr\u00edtica<\/strong><br> Fecha de publicaci\u00f3n: 1 de septiembre de 2020<br> \u00daltima revisi\u00f3n: Revisi\u00f3n A.<br> Fuente: https:\/\/seravo.com\/<\/p>\n\n\n\n<p><br> <strong>Sistemas Afectados<\/strong><br> \uf0a7    WordPress<br> \uf0a7    WP File Manager<br> \uf0a7    WP File Manager Pro<\/p>\n\n\n\n<p><br><strong> I. Descripci\u00f3n<\/strong><br> El l\u00edder del equipo de sistemas y mantenimiento de wordpres VILLE KORHONEN, alerto de una falla critica que pone en peligro a muchos clientes. En su investigaci\u00f3n se descubri\u00f3 r\u00e1pidamente que hab\u00eda una vulnerabilidad de seguridad grave de \u201c0 d\u00edas\u201d en el complemento de WordPress WP File Manager que permit\u00eda a los atacantes cargar archivos arbitrarios y ejecutar c\u00f3digo remoto en cualquier sitio de WordPress con este complemento instalado. <br> En la investigaci\u00f3n se cree que tanto la versi\u00f3n WP File Manager y WP File Manager Pro, tambi\u00e9n son afectadas teniendo un aproximado de 700k de instalaciones activas y populares entre los usuarios de wordpress.<br> Gracias a la colaboraci\u00f3n de Seravo, el autor del complemento pudo desarrollar r\u00e1pidamente una actualizaci\u00f3n de seguridad que ya puede ser descarga.<br> Si requieren saber m\u00e1s del funcionamiento e investigaci\u00f3n pueden ir a: <a href=\"https:\/\/seravo.com\/blog\/0-day-vulnerability-in-wp-file-manager\/\">https:\/\/seravo.com\/blog\/0-day-vulnerability-in-wp-file-manager\/<\/a><\/p>\n\n\n\n<p><strong>II. Impacto<\/strong><br> Un atacante podr\u00eda potencialmente hacer lo que quiera: robar datos privados, destruir el sitio o usar el sitio web para montar m\u00e1s ataques en otros sitios o la infraestructura.<\/p>\n\n\n\n<p><strong>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/strong><br> Se recomienda urgentemente a todos los que utilicen este complemento actualizar a la \u00faltima <a href=\"https:\/\/wpvulndb.com\/vulnerabilities\/10389\">versi\u00f3n 6.9 de WP File Manager<\/a>,o alternativamente, desinstalar el complemento (desactivar el complemento no es suficiente para protegerse contra esta vulnerabilidad).<\/p>\n\n\n\n<p><br><strong>IV. Informaci\u00f3n de contacto<\/strong><br> CSIRT PANAMA<br> Autoridad Nacional para la Innovaci\u00f3n Gubernamental<br> E-Mail: info@cert.pa<br> Web:   http:\/\/www.cert.pa<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Cr\u00edtica Fecha de publicaci\u00f3n: 1 de septiembre de 2020 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente: https:\/\/seravo.com\/ Sistemas Afectados \uf0a7 WordPress \uf0a7 WP File Manager \uf0a7 WP File Manager Pro I. Descripci\u00f3n El l\u00edder del equipo&#8230;<\/p>\n","protected":false},"author":4,"featured_media":846,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2321","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2321"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2321\/revisions"}],"predecessor-version":[{"id":2324,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2321\/revisions\/2324"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/846"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}