{"id":125229,"date":"2023-08-30T14:06:54","date_gmt":"2023-08-30T12:06:54","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=125229"},"modified":"2023-08-30T14:06:55","modified_gmt":"2023-08-30T12:06:55","slug":"vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/","title":{"rendered":"Vulnerabilidad cr\u00edtica afecta a m\u00e1s de 400,000 sitios web con el plugin Forminator para WordPress"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<p>Una vulnerabilidad cr\u00edtica en el plugin Forminator de WordPress, utilizado en m\u00e1s de 400,000 sitios web, ha sido parcheada seg\u00fan la Base de Datos Nacional de Vulnerabilidades de Estados Unidos (NVD). La vulnerabilidad ha recibido una puntuaci\u00f3n de 9.8 sobre 10 en la escala de gravedad.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Detalles_de_la_Vulnerabilidad\" >Detalles de la Vulnerabilidad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Vulnerabilidad_a_Atacantes_No_Autenticados\" >Vulnerabilidad a Atacantes No Autenticados<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Descripcion_Oficial_de_la_Vulnerabilidad\" >Descripci\u00f3n Oficial de la Vulnerabilidad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Ejecucion_Remota_de_Codigo_RCE\" >Ejecuci\u00f3n Remota de C\u00f3digo (RCE)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Importancia_de_Seguridad_en_Formularios_de_Contacto\" >Importancia de Seguridad en Formularios de Contacto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Vulnerabilidades_No_Especificas_de_WordPress\" >Vulnerabilidades No Espec\u00edficas de WordPress<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#%C2%BFHa_sido_resuelta_la_vulnerabilidad\" >\u00bfHa sido resuelta la vulnerabilidad?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#Importancia_del_Registro_de_Cambios\" >Importancia del Registro de Cambios<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Detalles_de_la_Vulnerabilidad\"><\/span>Detalles de la Vulnerabilidad<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p><strong>La NVD public\u00f3 una notificaci\u00f3n<\/strong> acerca de la vulnerabilidad cr\u00edtica que afecta a las versiones del plugin Forminator WordPress Contact Form hasta la 1.24.6.<\/p>\n<p>El fallo permite a atacantes no autenticados <strong>subir archivos maliciosos<\/strong> a sitios web, lo que podr\u00eda llevar a la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Vulnerabilidad_a_Atacantes_No_Autenticados\"><\/span>Vulnerabilidad a Atacantes No Autenticados<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>La mayor parte de las vulnerabilidades requieren que un atacante alcance primero un <strong>nivel de usuario en WordPress<\/strong> para lanzar un ataque.<\/p>\n<p>Lo que hace a esta vulnerabilidad especialmente preocupante es que <strong>permite a atacantes no autenticados comprometer el sitio<\/strong>, sin necesidad de tener un nivel de usuario.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Descripcion_Oficial_de_la_Vulnerabilidad\"><\/span>Descripci\u00f3n Oficial de la Vulnerabilidad<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<blockquote>\n  \u201cEl plugin Forminator para WordPress es vulnerable a subidas de archivos arbitrarios debido a que la validaci\u00f3n del tipo de archivo ocurre despu\u00e9s de que un archivo ha sido subido al servidor en la funci\u00f3n upload_post_image() en versiones hasta, e incluyendo, la 1.24.6. Esto hace posible que atacantes no autenticados suban archivos arbitrarios en el servidor del sitio afectado, lo cual puede hacer posible la ejecuci\u00f3n remota de c\u00f3digo.\u201d\n<\/blockquote>\n\n<h2><span class=\"ez-toc-section\" id=\"Ejecucion_Remota_de_Codigo_RCE\"><\/span>Ejecuci\u00f3n Remota de C\u00f3digo (RCE)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Una vulnerabilidad de Ejecuci\u00f3n Remota de C\u00f3digo (RCE) es un tipo de exploit en el cual el atacante puede <strong>ejecutar c\u00f3digo malicioso<\/strong> en el sitio web atacado desde otra m\u00e1quina.<\/p>\n<p>El da\u00f1o causado por este tipo de vulnerabilidad puede llegar a ser tan severo como la <strong>adquisici\u00f3n total del sitio web<\/strong>.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Importancia_de_Seguridad_en_Formularios_de_Contacto\"><\/span>Importancia de Seguridad en Formularios de Contacto<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Los plugins de WordPress que permiten a usuarios registrados o no autenticados subir cualquier tipo de archivo, <strong>deben tener una forma de limitar lo que puede ser subido<\/strong>.<\/p>\n<p>Los formularios de contacto deben ser especialmente seguros ya que <strong>aceptan informaci\u00f3n del p\u00fablico<\/strong>.<\/p>\n\n\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/www.searchenginejournal.com\/wp-content\/uploads\/2023\/08\/screenshot-wordfence-forminator-vulnerability-64eeed599cefb-sej.png\" alt=\"\" title=\"\"><figcaption class=\"wp-element-caption\">Imagen de Wordfence.com<\/figcaption><\/figure>\n\n\n\n<h2><span class=\"ez-toc-section\" id=\"Vulnerabilidades_No_Especificas_de_WordPress\"><\/span>Vulnerabilidades No Espec\u00edficas de WordPress<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Estas vulnerabilidades <strong>no son exclusivas de WordPress<\/strong>; pueden ocurrir en cualquier Sistema de Gesti\u00f3n de Contenidos.<\/p>\n<p>WordPress publica <strong>est\u00e1ndares de codificaci\u00f3n<\/strong> para que los desarrolladores sepan c\u00f3mo prevenir este tipo de situaciones.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFHa_sido_resuelta_la_vulnerabilidad\"><\/span>\u00bfHa sido resuelta la vulnerabilidad?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Seg\u00fan la NVD y la empresa de seguridad de WordPress Wordfence, <strong>el problema ha sido resuelto en la versi\u00f3n 1.25.0<\/strong>.<\/p>\n<p>Wordfence recomienda actualizar a la \u00faltima versi\u00f3n disponible, o <strong>a una versi\u00f3n m\u00e1s nueva que haya recibido el parche<\/strong>.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Importancia_del_Registro_de_Cambios\"><\/span>Importancia del Registro de Cambios<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Un registro de cambios es un historial de todas las modificaciones realizadas en un software. Permite a los usuarios <strong>decidir si desean o no actualizar su software<\/strong>.<\/p>\n<p>Es una buena pr\u00e1ctica informar a los usuarios que una actualizaci\u00f3n espec\u00edfica resuelve una vulnerabilidad, para que puedan <strong>tomar una decisi\u00f3n informada sobre la actualizaci\u00f3n de su software<\/strong>.<\/p>\n\n\n\n\n<p>Fuente: <a href=\"https:\/\/www.searchenginejournal.com\/forminator-contact-form-vulnerability\/495140\" target=\"_blank\" rel=\"noopener\">https:\/\/www.searchenginejournal.com\/forminator-contact-form-vulnerability\/495140<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una vulnerabilidad cr\u00edtica en el plugin Forminator de WordPress, utilizado en m\u00e1s de 400,000 sitios web, ha sido parcheada seg\u00fan &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Vulnerabilidad cr\u00edtica afecta a m\u00e1s de 400,000 sitios web con el plugin Forminator para WordPress\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-critica-afecta-a-mas-de-400000-sitios-web-con-el-plugin-forminator-para-wordpress\/#more-125229\" aria-label=\"Leer m\u00e1s sobre Vulnerabilidad cr\u00edtica afecta a m\u00e1s de 400,000 sitios web con el plugin Forminator para WordPress\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124496,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-125229","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/125229","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=125229"}],"version-history":[{"count":2,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/125229\/revisions"}],"predecessor-version":[{"id":125231,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/125229\/revisions\/125231"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124496"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=125229"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=125229"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=125229"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}