02/09/2020 Vulnerabilidad en plugin de WordPress

 

02 de septiembre de 2020

Vulnerabilidad en plugin de WordPress
ID: 02092048

Descripción

Recientemente se ha dado a conocer una vulnerabilidad en un plugin  de WorPress, concretamente WP File Manager, dado a conocer por la empresa de seguridad en sitios web NinTechNet.

Debido a que cuenta con mas de 700.000 instalaciones activas y por ser un complemento que permite realizar muchas operaciones, entre ellas permitir subir y bajar archivos, modificar permisos, borrar, compimir, etc, hace que sea una herramienta que permita centralizar la gestión en el propio CMS (Sistema de Gestión de Contenidos), esto puede permitir que de manera remota un atacante suba archivos al servidor de imagen que contiene webshells, y subir nuevos scripts a la carpeta de instalación de WP File Manager para comprometer la seguridad del sitio.

Por lo cual si hace uso de este complemento te sugerimos actualizarlo de manera constante.

Producto afectado

 

  • File Manager versiones entre la 6.0 y 6.8

Solución:

Se recomienda a los administradores y usuarios realizar un respaldo completo del sistema antes de aplicar las actualizaciones para evitar pérdida de información.

Las actualización a la versión 6.9 de este complemento se encuentra disponible para su descarga e instalación.

Para más información:

https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/

https://wordpress.org/plugins/wp-file-manager/