Vulnerabilidades en Tema y Complemento de WordPress
WordPress es una de las plataformas de gestión de contenidos (CMS) más utilizadas a nivel mundial, permitiendo a los usuarios crear y administrar sitios web de forma eficiente. Sin embargo, su popularidad también lo convierte en un objetivo recurrente para los ciberataques. Esto resalta la importancia crítica de mantener actualizadas las medidas de seguridad y de implementar revisiones periódicas en temas y complementos. A continuación, se detallan dos vulnerabilidades recientemente reportadas, que exponen a miles de sitios web a riesgos significativos: CVE-2024-22303 (CVSS 8.8): La vulnerabilidad afecta al tema y plugin Houzez de WordPress, permitiendo la escalación de privilegios. Este…
Vulnerabilidad crítica en Grafana Plugin SDK
Se ha descubierto una vulnerabilidad CRÍTICA identificada como CVE-2024-8986 en Grafana Plugin SDK (Software Development Kit) para el lenguaje de programación de código abierto Go. Esta falla de seguridad puede comprometer la información sensible almacenada en los plugins creados con versiones vulnerables del SDK. Un atacante que obtenga acceso a los binarios generados con una versión vulnerable del SDK podría extraer las credenciales embebidas, lo que le permitiría acceder de forma no autorizada a repositorios privados. Esto compromete la confidencialidad y puede llevar a la exposición de código y datos sensibles. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad crítica en plugin de WordPress
El plugin Webo-facto para WordPress, ampliamente utilizado para conectar sitios web con la plataforma Webo, presenta una vulnerabilidad de severidad crítica que podría permitir a atacantes tomar el control completo de sitios web afectados. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad crítica en Veeam Backup & Replication
Se ha identificado una vulnerabilidad crítica en Veeam Backup & Replication, una solución ampliamente utilizada para la gestión de copias de seguridad y recuperación. La explotación exitosa de esta falla le otorgaría al atacante control total sobre el sistema, permitiéndole manipular datos, acceder a información sensible y moverse lateralmente dentro de la red, lo que la convierte en un objetivo de alto valor, especialmente para operadores de ransomware. La investigadora de seguridad Sina Kheirkhah de watchTowr ha publicado un análisis y una prueba de concepto (PoC) de explotación para esta vulnerabilidad. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad crítica en complementos de Acronis
Acronis, empresa líder en protección de datos, ha identificado una vulnerabilidad crítica en sus complementos de copia de seguridad y productos relacionados, afectando potencialmente a una amplia gama de usuarios. A continuación, se detalla la vulnerabilidad reportada: Productos y versiones afectadas Productos afectados Versiones afectadas Solución Complemento Acronis Backup para cPanel y WHM (Linux). Versiones anteriores a la build 619. build 619 o posteriores. Extensión Acronis Backup para Plesk (Linux). Versiones anteriores a la build 555. build 555 o posterior. Complemento Acronis Backup para DirectAdmin (Linux). Versiones anteriores a la build 147. build 147 o posterior Recomendaciones: Referencias:
Vulnerabilidades críticas en VMware vCenter Server
VMware ha revelado recientemente varias vulnerabilidades críticas en su plataforma vCenter Server, las cuales pueden comprometer la seguridad de organizaciones en todo el mundo. Estas vulnerabilidades, identificadas en el protocolo DCERPC y relacionadas con la ejecución remota de código y la escalada de privilegios, afectan a las versiones más recientes de vCenter Server. CVE Productos afectados Versiones afectadas Solución CVE-2024-38812 y CVE-2024-38813 vCenter Server. Versión 7.0Versión 8.0 Versión 7.0 U3s Versión 8.0 U3b CVE-2024-38812 y CVE-2024-38813 VMware Cloud Foundation. Versión 4.x. Versión 5.x Parche asíncrono 7.0 U3s Parche asíncrono 8.0 U3b Recomendaciones: Referencias:
Vulnerabilidades de privilegios elevados en Citrix Workspace
Cloud Software Group ha publicado recientemente un aviso de seguridad alertando sobre dos vulnerabilidades que afectan a la aplicación Citrix Workspace para Windows, un software ampliamente utilizado para acceso remoto y trabajo colaborativo. Estas vulnerabilidades podrían permitir que un atacante con acceso de bajo nivel obtenga privilegios elevados y tome control total del sistema. Productos y versiones afectadas: Las vulnerabilidades afectan a las siguientes versiones compatibles de la aplicación Citrix Workspace para Windows. Current Release (CR): Citrix Workspace versiones anteriores a la 2405. Long Term Service Release (LTSR): Citrix Workspace versiones anteriores a la 2402 LTSR CU1 Solución: Current Release…
Vulnerabilidades comprometen la seguridad de Productos Cisco
Cisco Systems ha emitido una serie de avisos de seguridad urgentes, revelando múltiples vulnerabilidades que afectan varios productos, incluidos Cisco IOS XR Software, Crosswork Network Services Orchestrator (NSO), Optical Site Manager, y los enrutadores RV340 Dual WAN Gigabit VPN. Estas vulnerabilidades varían en gravedad y pueden permitir a atacantes no autenticados ejecutar ataques de denegación de servicio (DoS) o incluso ejecutar código arbitrario de manera remota. Se detallan los productos y versiones afectadas: CVE Productos afectados Versiones afectadas Solución CVE-2024-20381 RV340 Dual WAN Gigabit VPN Routers 7.5 hasta 7.5.10.17.7 hasta 7.7.158.0 hasta 8.0.12 7.5.10.27.7.168.0.13 CVE-2024-20381 Crosswork NSO 5.55.65.75.86.06.16.26.3 5.5.10.15.6.14.35.7.165.8.13.16.0.136.1.8.1 /…
Vulnerabilidades comprometen la seguridad en PAN-OS y GlobalProtect
Recientemente, Palo Alto Networks ha emitido un aviso de seguridad sobre dos vulnerabilidades que afectan a su sistema operativo PAN-OS y al cliente de GlobalProtect. La explotación de estos fallos podría permitir desde la ejecución de comandos arbitrarios hasta la exposición de información confidencial, poniendo en peligro la seguridad de las redes corporativas. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Falla en LearnPress Compromete la Seguridad de Sitios WordPress
LearnPress, un popular complemento de WordPress utilizado para la creación y gestión de cursos en línea, ha sido afectado por dos vulnerabilidades críticas de inyección SQL. Estas fallas tienen una puntuación CVSS de 10, lo que resalta su gravedad y potencial impacto en más de 90,000 sitios web que utilizan este complemento. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: