{"id":125634,"date":"2023-10-24T21:50:32","date_gmt":"2023-10-24T19:50:32","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=125634"},"modified":"2023-10-24T21:51:27","modified_gmt":"2023-10-24T19:51:27","slug":"una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/","title":{"rendered":"Una vulnerabilidad en WordPress del plugin LiteSpeed \u200b\u200bafecta a 4 millones de sitios web"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" style=\"aspect-ratio:2;width:760px;height:auto\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<p>\u00a1Ojo, webmasters! Una vulnerabilidad en el plugin de WordPress LiteSpeed ha afectado a <strong>4 millones de sitios web<\/strong>. As\u00ed que, si est\u00e1s usando este plugin, \u00a1sigue leyendo!<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/#Vulnerabilidad_descubierta\" >Vulnerabilidad descubierta<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/#%C2%BFQue_es_la_vulnerabilidad_XSS\" >\u00bfQu\u00e9 es la vulnerabilidad XSS?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/#%C2%BFQue_dice_la_pagina_de_desarrolladores_de_WordPress\" >\u00bfQu\u00e9 dice la p\u00e1gina de desarrolladores de WordPress?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/#%C2%BFQue_se_necesita_para_explotar_esta_vulnerabilidad\" >\u00bfQu\u00e9 se necesita para explotar esta vulnerabilidad?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/#Versiones_vulnerables_de_LiteSpeed\" >Versiones vulnerables de LiteSpeed<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Vulnerabilidad_descubierta\"><\/span>Vulnerabilidad descubierta<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>El famoso plugin LiteSpeed para WordPress, que es utilizado por millones, tuvo un peque\u00f1o desliz. <strong>Se descubri\u00f3 una vulnerabilidad<\/strong> que permiti\u00f3 a los hackers subir scripts maliciosos a m\u00e1s de 4 millones de sitios.<\/p>\n<p>Seg\u00fan la fuente, LiteSpeed fue <strong>informado de esta vulnerabilidad<\/strong> hace dos meses, exactamente el 14 de agosto, y finalmente lanz\u00f3 una correcci\u00f3n en octubre.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFQue_es_la_vulnerabilidad_XSS\"><\/span>\u00bfQu\u00e9 es la vulnerabilidad XSS?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La empresa Wordfence encontr\u00f3 una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin LiteSpeed, conocido por ser el <strong>plugin de cach\u00e9 m\u00e1s popular<\/strong> de WordPress en todo el mundo.<\/p>\n<p>Estas vulnerabilidades XSS suelen surgir debido a una falta en un proceso de seguridad denominado <strong>\u00absanitizaci\u00f3n y escape de datos\u00bb<\/strong>.<\/p>\n<p>La sanitizaci\u00f3n es una t\u00e9cnica que filtra qu\u00e9 tipo de archivos pueden subirse a trav\u00e9s de un input leg\u00edtimo, como en un formulario de contacto. En el caso de LiteSpeed, se pudo aprovechar una funcionalidad de shortcode para subir scripts que no deber\u00edan haber sido posibles de subir si se hubieran seguido los protocolos de seguridad adecuados.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"1024\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/10\/DALL\u00b7E-2023-10-24-21.45.17-Photo-of-a-computer-screen-displaying-an-error-message-related-to-a-vulnerability-in-WordPress-LiteSpeed.-The-background-shows-lines-of-code-and-ther.png\" alt=\"\" class=\"wp-image-125636\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/10\/DALL\u00b7E-2023-10-24-21.45.17-Photo-of-a-computer-screen-displaying-an-error-message-related-to-a-vulnerability-in-WordPress-LiteSpeed.-The-background-shows-lines-of-code-and-ther.png 1024w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/10\/DALL\u00b7E-2023-10-24-21.45.17-Photo-of-a-computer-screen-displaying-an-error-message-related-to-a-vulnerability-in-WordPress-LiteSpeed.-The-background-shows-lines-of-code-and-ther-300x300.png 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/10\/DALL\u00b7E-2023-10-24-21.45.17-Photo-of-a-computer-screen-displaying-an-error-message-related-to-a-vulnerability-in-WordPress-LiteSpeed.-The-background-shows-lines-of-code-and-ther-150x150.png 150w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/10\/DALL\u00b7E-2023-10-24-21.45.17-Photo-of-a-computer-screen-displaying-an-error-message-related-to-a-vulnerability-in-WordPress-LiteSpeed.-The-background-shows-lines-of-code-and-ther-768x768.png 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFQue_dice_la_pagina_de_desarrolladores_de_WordPress\"><\/span>\u00bfQu\u00e9 dice la p\u00e1gina de desarrolladores de WordPress?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Seg\u00fan la fuente, la p\u00e1gina de desarrolladores de WordPress describe la pr\u00e1ctica de sanitizaci\u00f3n de la siguiente manera: <q>Los datos no confiables provienen de muchas fuentes (usuarios, sitios de terceros, \u00a1incluso tu propia base de datos!) y todo debe ser verificado antes de usarlo. Sanitizar la entrada es el proceso de asegurar\/limpiar\/filtrar los datos de entrada.<\/q><\/p>\n<p>Por otro lado, <strong>el proceso de escape<\/strong> es descrito como: <q>El proceso de asegurar los datos de salida eliminando datos no deseados, como etiquetas HTML mal formadas o de script.<\/q><\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFQue_se_necesita_para_explotar_esta_vulnerabilidad\"><\/span>\u00bfQu\u00e9 se necesita para explotar esta vulnerabilidad?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Para sacar partido de esta vulnerabilidad, el hacker necesita tener <strong>permisos de nivel de colaborador<\/strong> en el sitio. Esto hace que el ataque sea un poco m\u00e1s complicado que otras amenazas que no requieren ning\u00fan nivel de permiso.<\/p>\n<p>Wordfence lo aclara as\u00ed: <q>Esto hace posible que los actores de amenazas realicen ataques XSS almacenados. Una vez que se inyecta un script en una p\u00e1gina o entrada, se ejecutar\u00e1 cada vez que un usuario acceda a la p\u00e1gina afectada.<\/q><\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Versiones_vulnerables_de_LiteSpeed\"><\/span>Versiones vulnerables de LiteSpeed<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Si tienes una versi\u00f3n <strong>5.6 o inferior<\/strong> del plugin LiteSpeed Cache, tu sitio es vulnerable a este ataque.<\/p>\n<p>Desde aqu\u00ed, te recomendamos que <strong>actualices tu plugin<\/strong> a la \u00faltima versi\u00f3n, 5.7, que fue lanzada el 10 de octubre de 2023.<\/p>\n\n\n\n<p>Fuente: https:\/\/www.searchenginejournal.com\/wordpress-litespeed-plugin-vulnerability-affects-4-million-websites\/499074<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00a1Ojo, webmasters! Una vulnerabilidad en el plugin de WordPress LiteSpeed ha afectado a 4 millones de sitios web. As\u00ed que, &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Una vulnerabilidad en WordPress del plugin LiteSpeed \u200b\u200bafecta a 4 millones de sitios web\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/una-vulnerabilidad-en-wordpress-litespeed-afecta-a-4-millones-de-sitios-web\/#more-125634\" aria-label=\"Leer m\u00e1s sobre Una vulnerabilidad en WordPress del plugin LiteSpeed \u200b\u200bafecta a 4 millones de sitios web\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":125636,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-125634","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/125634","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=125634"}],"version-history":[{"count":3,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/125634\/revisions"}],"predecessor-version":[{"id":125638,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/125634\/revisions\/125638"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/125636"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=125634"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=125634"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=125634"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}