{"id":126253,"date":"2024-01-23T14:12:02","date_gmt":"2024-01-23T12:12:02","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=126253"},"modified":"2024-01-23T14:12:03","modified_gmt":"2024-01-23T12:12:03","slug":"vulnerabilidad-en-el-plugin-file-manager-de-wordpress","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/vulnerabilidad-en-el-plugin-file-manager-de-wordpress\/","title":{"rendered":"Vulnerabilidad  en el Plugin File Manager de WordPress"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n\n    <p><strong>Una vulnerabilidad significativa<\/strong> en el popular plugin File Manager para WordPress, que afecta a m\u00e1s de un mill\u00f3n de sitios web, ha sido identificada y corregida. Esta vulnerabilidad se califica con un 8.1 sobre 10 en severidad y podr\u00eda permitir a atacantes sin autenticar acceder a informaci\u00f3n sensible, incluyendo los datos contenidos en las copias de seguridad del sitio.<\/p>\n\n    <div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-el-plugin-file-manager-de-wordpress\/#Vulnerabilidades_de_ataque_no_autenticado\" >Vulnerabilidades de ataque no autenticado<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-el-plugin-file-manager-de-wordpress\/#Descripcion_de_la_vulnerabilidad_por_el_sitio_web_de_enumeracion_de_debilidades_comunes\" >Descripci\u00f3n de la vulnerabilidad por el sitio web de enumeraci\u00f3n de debilidades comunes<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-el-plugin-file-manager-de-wordpress\/#Vulnerabilidad_por_uso_de_valores_insuficientemente_aleatorios\" >Vulnerabilidad por uso de valores insuficientemente aleatorios<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-el-plugin-file-manager-de-wordpress\/#Versiones_vulnerables_del_plugin\" >Versiones vulnerables del plugin<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Vulnerabilidades_de_ataque_no_autenticado\"><\/span>Vulnerabilidades de ataque no autenticado<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Lo que <strong>hace esta vulnerabilidad especialmente preocupante<\/strong> es el hecho de que un hacker no necesita credenciales de inicio de sesi\u00f3n para lanzar un ataque, lo que se entiende como un ataque no autenticado.<\/p>\n    <p>En el contexto de una vulnerabilidad de un plugin de WordPress, un atacante puede obtener acceso a informaci\u00f3n sensible sin necesidad de iniciar sesi\u00f3n o autenticar su identidad. Este tipo de ataque explota una brecha de seguridad en el plugin File Manager, conocida como <strong>Uso de Valores Insuficientemente Aleatorios<\/strong>.<\/p>\n\n    <h2><span class=\"ez-toc-section\" id=\"Descripcion_de_la_vulnerabilidad_por_el_sitio_web_de_enumeracion_de_debilidades_comunes\"><\/span>Descripci\u00f3n de la vulnerabilidad por el sitio web de enumeraci\u00f3n de debilidades comunes<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>El sitio web de seguridad <strong>Enumeraci\u00f3n de Debilidades Comunes<\/strong> describe este tipo de vulnerabilidad:<\/p>\n    <blockquote>\u201cEl producto utiliza n\u00fameros o valores insuficientemente aleatorios en un contexto de seguridad que depende de n\u00fameros impredecibles. Cuando el producto genera valores predecibles en un contexto que requiere imprevisibilidad, puede ser posible para un atacante adivinar el pr\u00f3ximo valor que se generar\u00e1, y usar esta suposici\u00f3n para suplantar a otro usuario o acceder a informaci\u00f3n sensible.\u201d<\/blockquote>\n\n    <h2><span class=\"ez-toc-section\" id=\"Vulnerabilidad_por_uso_de_valores_insuficientemente_aleatorios\"><\/span>Vulnerabilidad por uso de valores insuficientemente aleatorios<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>Este tipo de vulnerabilidad se debe a <strong>una debilidad en el algoritmo de generaci\u00f3n de nombres de archivo de respaldo<\/strong> del plugin File Manager. El algoritmo combina una marca de tiempo con un n\u00famero aleatorio de cuatro d\u00edgitos, pero esa cantidad de aleatoriedad no es suficiente para impedir que un atacante adivine los nombres de los archivos y, en consecuencia, acceda a los archivos de respaldo en configuraciones donde no existe un archivo .htaccess para bloquear el acceso.<\/p>\n\n    <h2><span class=\"ez-toc-section\" id=\"Versiones_vulnerables_del_plugin\"><\/span>Versiones vulnerables del plugin<span class=\"ez-toc-section-end\"><\/span><\/h2>\n    <p>La vulnerabilidad de seguridad se encuentra en <strong>todas las versiones hasta la 7.2.1 inclusive<\/strong>, y se corrigi\u00f3 en la \u00faltima actualizaci\u00f3n del plugin, con el lanzamiento de la versi\u00f3n 7.2.2.<\/p>\n    <p>La actualizaci\u00f3n, como se se\u00f1ala en la Documentaci\u00f3n de Cambios del Plugin File Manager de WordPress, incluye una soluci\u00f3n para el problema de seguridad. Se recomienda encarecidamente a los usuarios del plugin <strong>considerar la actualizaci\u00f3n a esta \u00faltima versi\u00f3n<\/strong> para proteger sus sitios web de posibles explotaciones.<\/p>\n\n\n\n\n<p>Fuente:https:\/\/www.searchenginejournal.com\/wordpress-file-manager-plugin-vulnerability-affects-1-million-websites\/506103\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una vulnerabilidad significativa en el popular plugin File Manager para WordPress, que afecta a m\u00e1s de un mill\u00f3n de sitios &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Vulnerabilidad  en el Plugin File Manager de WordPress\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-el-plugin-file-manager-de-wordpress\/#more-126253\" aria-label=\"Leer m\u00e1s sobre Vulnerabilidad  en el Plugin File Manager de WordPress\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124496,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-126253","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/126253","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=126253"}],"version-history":[{"count":5,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/126253\/revisions"}],"predecessor-version":[{"id":126258,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/126253\/revisions\/126258"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124496"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=126253"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=126253"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=126253"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}