Se ha hecho público nuevas vulnerabilidades descubiertas en Newsletter, un plugin de WordPress instalado en más de 300,000 sitios, la cual podría permitir a los atacantes ejecutar código malicioso e incluso tomar control del sitio.
El complemento Newsletter brinda a los usuarios del CMS WordPress las herramientas necesarias para crear boletines de noticias y lanzar campañas vía email a través de un editor visual.
Los fallos detectados corresponden a una vulnerabilidad de cross-site scripting (XSS) cuya explotación exitosa podría permitir a los atacantes inyectar código malicioso en una ventana web, y una vulnerabilidad de inyección de objetos PHP la cual podría usarse para inyectar un objeto PHP que a su vez podría ser procesado mediante código de otro plugin o tema, y usarse para ejecutar código arbitrario, cargar archivos o cualquier otra táctica que pueda conducir a la toma de control del sitio.
Versiones afectadas por el fallo:
- Newsletter versiones anteiores a la versión 6.8.2.
Solución:
- Se recomienda a los usuarios actualizar sus instalaciones a la versión más reciente.
Actualizar Newsletter a la versión 6.8.2 o superior.
Más información:
https://www.wordfence.com/blog/2020/08/newsletter-plugin-vulnerabilities-affect-over-300000-sites/
https://threatpost.com/newsletter-wordpress-plugin-site-takeover/158025/