ElegantThemes

Expandir las vulnerabilidades de los parches en el complemento Redux Framework

Wordfence tiene liberado dos agujeros de seguridad que afectan a los usuarios del complemento Redux Framework, que se lanzó recientemente como «Biblioteca de plantillas de Gutenberg y marco de Redux“En WordPress.org. Extendify compró el complemento en noviembre de 2020 a su creador, Dōvy Paukstys, en un acuerdo que recibió poca atención. Actualmente está activo en más de 1 millón de sitios de WordPress.

Durante la mayor parte de su historia, Redux ha sido conocido como un marco de opciones popular para temas y complementos. En 2020, Paukstys reinició el marco con un enfoque en las plantillas de Gutenberg. Los usuarios ahora pueden buscar más de 1000 plantillas en el editor de bloques.

Es esta nueva función de exploración de plantillas la que se encontró vulnerable en el informe de seguridad reciente de Wordfence debido a una verificación de autorización laxa de los puntos finales de la API WP-REST que el complemento está utilizando para procesar solicitudes en su biblioteca de plantillas. El 3 de agosto de 2021, Wordfence anunció una vulnerabilidad de alta gravedad conocida como. es descrito «Autorización incorrecta, que conduce a la instalación arbitraria del complemento y después de la eliminación» y una gravedad menor «Divulgación no autenticada de información confidencial“Vulnerabilidad para el propietario del complemento. El informe publicado esta semana describe la naturaleza de la amenaza:

Una vulnerabilidad permitía a los usuarios con privilegios más bajos, como los contribuyentes, instalar y activar cualquier complemento y eliminar cualquier publicación o página a través de la API REST. Una segunda vulnerabilidad permitió a atacantes no autenticados acceder a información potencialmente sensible sobre la configuración de un sitio.

Extendify reaccionó de inmediato y entregó una versión parcheada (4.2.13) del marco Redux el 11 de agosto de 2021. En el momento de la publicación, más del 71% de los sitios que utilizan el complemento Redux Framework se ejecutan en versiones anteriores que aún son vulnerables. Se recomienda a los usuarios que actualicen a la última versión para recibir el parche de seguridad, especialmente después de que Wordfence publicó un artículo que muestra cómo los atacantes podrían aprovechar estas vulnerabilidades.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *