Vulnerabilidad crítica en plugin ‘wpDiscuz’ de WordPress

Se ha hecho público una vulnerabilidad crítica en wpDiscuz, un plugin de WordPress instalado en más de 80,000 sitios, la cual podría permitir a los atacantes ejecutar código malicioso de forma remota en servidores que alojan sitios web vulnerables.

El complemento wpDiscuz es un sistema de comentarios receptivos en tiempo real dentro que permite a los usuarios mantener sus comentarios en la base de datos de instalaciones WordPress. En una versión reciente del complemento, se agregó una opción para que los usuarios agreguen archivos adjuntos en sus comentarios. Su implementación carecía de protecciones de seguridad y creó una falla crítica que permite a los atacantes cargar archivos arbitrarios, incluidos archivos PHP.

Versiones afectadas por el fallo:

  • wpDiscuz versión 7.0.0 a 7.0.4.

Solución:

Se recomienda a los usuarios actualizar sus instalaciones a la versión más reciente:

Más información:

https://www.bleepingcomputer.com/news/security/critical-wordpress-plugin-bug-lets-hackers-take-over-hosting-account/

https://www.wordfence.com/blog/2020/07/critical-arbitrary-file-upload-vulnerability-patched-in-wpdiscuz-plugin/