{"id":127224,"date":"2024-07-08T15:30:16","date_gmt":"2024-07-08T13:30:16","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=127224"},"modified":"2024-07-08T15:30:17","modified_gmt":"2024-07-08T13:30:17","slug":"vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress\/","title":{"rendered":"Vulnerabilidad de alta gravedad del complemento de p\u00e1ginas anidadas de WordPress"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<p>Un importante fallo de seguridad ha sido detectado en el plugin Nested Pages de WordPress, afectando a m\u00e1s de 100,000 instalaciones. Seg\u00fan la fuente, esta vulnerabilidad de alta severidad permite a atacantes no autenticados ejecutar un exploit CSRF (Cross Site Request Forgery).<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress\/#Vulnerabilidad_CSRF_en_Nested_Pages\" >Vulnerabilidad CSRF en Nested Pages<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress\/#Fallas_en_la_validacion_y_sanitizacion\" >Fallas en la validaci\u00f3n y sanitizaci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress\/#Versiones_afectadas_y_solucion\" >Versiones afectadas y soluci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress\/#Recomendaciones_para_los_usuarios\" >Recomendaciones para los usuarios<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Vulnerabilidad_CSRF_en_Nested_Pages\"><\/span>Vulnerabilidad CSRF en Nested Pages<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>La Base de Datos Nacional de Vulnerabilidades de EE.UU. (NVD) y Wordfence publicaron una advertencia de seguridad sobre una vulnerabilidad CSRF de alta severidad en el plugin Nested Pages de WordPress. Esta vulnerabilidad recibi\u00f3 una puntuaci\u00f3n de 8.8 en el Sistema de Puntuaci\u00f3n de Vulnerabilidades Comunes (CVSS), en una escala del 1 al 10, donde diez representa el mayor nivel de severidad.<\/p>\n\n<p>El CSRF es un tipo de ataque que aprovecha una falla de seguridad en el plugin Nested Pages que permite a los atacantes no autenticados ejecutar archivos PHP, los cuales son los archivos de nivel de c\u00f3digo de WordPress. Hay una <strong>validaci\u00f3n de nonce<\/strong> ausente o incorrecta, una caracter\u00edstica de seguridad com\u00fan en los plugins de WordPress para asegurar formularios y URLs.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Fallas_en_la_validacion_y_sanitizacion\"><\/span>Fallas en la validaci\u00f3n y sanitizaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Otra falla en el plugin es la falta de una caracter\u00edstica de seguridad llamada sanitizaci\u00f3n. La sanitizaci\u00f3n es un m\u00e9todo de asegurar los datos que se ingresan o se muestran, tambi\u00e9n com\u00fan en los plugins de WordPress, pero en este caso, est\u00e1 ausente. Seg\u00fan Wordfence: \u201cEsto se debe a la falta o incorrecta validaci\u00f3n de nonce en la funci\u00f3n \u2018settingsPage\u2019 y a la falta de sanitizaci\u00f3n del par\u00e1metro \u2018tab\u2019\u201d.<\/p>\n\n<p>El ataque CSRF depende de que un usuario autenticado en WordPress (como un Administrador) haga clic en un enlace, lo que permite al atacante completar el ataque. Esta vulnerabilidad tiene una puntuaci\u00f3n de 8.8, lo que la convierte en una amenaza de alta severidad. Para ponerlo en perspectiva, una puntuaci\u00f3n de 8.9 es una amenaza de nivel cr\u00edtico, que es un nivel a\u00fan m\u00e1s alto. As\u00ed que, con 8.8, est\u00e1 apenas por debajo de una amenaza cr\u00edtica.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Versiones_afectadas_y_solucion\"><\/span>Versiones afectadas y soluci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Esta vulnerabilidad afecta a todas las versiones del plugin Nested Pages hasta e incluyendo la versi\u00f3n 3.2.7. Los desarrolladores del plugin lanzaron una soluci\u00f3n de seguridad en la versi\u00f3n 3.2.8 y publicaron de manera responsable los detalles de la actualizaci\u00f3n de seguridad en su registro de cambios.<\/p>\n\n<p>El registro de cambios oficial documenta la soluci\u00f3n de seguridad: \u201c<strong>Actualizaci\u00f3n de seguridad<\/strong> abordando el problema de CSRF en la configuraci\u00f3n del plugin\u201d.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Recomendaciones_para_los_usuarios\"><\/span>Recomendaciones para los usuarios<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p>Para los usuarios de WordPress que tienen instalado el plugin Nested Pages, es <strong>altamente recomendable<\/strong> actualizar a la versi\u00f3n 3.2.8 o superior para proteger sus sitios web de posibles ataques. Mantener los plugins actualizados es una de las mejores pr\u00e1cticas para mantener la seguridad de los sitios web y prevenir vulnerabilidades.<\/p>\n\n<p>En resumen, esta vulnerabilidad de alta severidad en el plugin Nested Pages de WordPress resalta la importancia de estar atentos a las actualizaciones de seguridad y actuar r\u00e1pidamente para proteger los sitios web de posibles amenazas.<\/p>\n\n\n\n<p>Fuente: https:\/\/www.searchenginejournal.com\/wordpress-nested-pages-plugin-vulnerability\/521550\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un importante fallo de seguridad ha sido detectado en el plugin Nested Pages de WordPress, afectando a m\u00e1s de 100,000 &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Vulnerabilidad de alta gravedad del complemento de p\u00e1ginas anidadas de WordPress\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-de-alta-gravedad-del-complemento-de-paginas-anidadas-de-wordpress\/#more-127224\" aria-label=\"Leer m\u00e1s sobre Vulnerabilidad de alta gravedad del complemento de p\u00e1ginas anidadas de WordPress\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124496,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-127224","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/127224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=127224"}],"version-history":[{"count":1,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/127224\/revisions"}],"predecessor-version":[{"id":127225,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/127224\/revisions\/127225"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124496"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=127224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=127224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=127224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}