 |
18 de febrero de 2020 |
Descripción
A través de un informe de la empresa de seguridad WebARX se ha dado a conocer una vulnerabilidad en un plugin de temas «ThemeGrill Demo Importer» que viene incluido gratuitamente así como en versión premium, contando con más de 200,000 instalaciones activas.
Cuando se instala y activa un tema de ThemeGrill, el complemento ejecuta algunas funciones con privilegios administrativos sin verificar previamente si el usuario que ejecuta el código está autenticado y si es administrador, esto podría permitir que un atacante remoto no autenticado pueda borrar toda la base de datos de sitios web específicos.
Productos afectados
- ThemeGrill Demo Importer v.1.3.4 y v.1.6.1
Solución:
En la página de webARX se ha puesto un enlace que apunta un blog deWordPress https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=2245070%40themegrill-demo-importer%2Ftrunk&old=2190304%40themegrill-demo-importer%2Ftrunk&sfp_email=&sfph_mail= dónde se explica la manera de crear una regla especial para bloquear esta vulnerabilidad.
Para más información:
https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer/
