Ultimate Form Builder Lite: Vulnerabilidad 0-Day siendo explotada

Posted on Posted in Seguridad, Wordpress

El equipo de WordFence ha descubierto recientemente una vulnerabilidad que ya esta siendo explotada por los hackers en la web. Se trata del plugin Ultimate Form Builder Lite desarrollado por AccessPress Themes.

Se llama comunmente vulnerabilidad zero-day al tipo de brechas de seguridad en los cuales no se han notificado las partes interesadas, la empresa o desarrollador y los usuarios de la aplicación vulnerable.

Si bien los autores del pluguin en cuestión ya fueron notificados y ya lanzaron un fix, todavia quedan miles de instalaciones sin actualizarse lo que depende de la actuación de los administradores de los sitios.

El ataque usa una combinación de una vulnerabilidades de Inyección SQL e Inyección de objeto PHP con lo que el atacante puede tener acceso al admin/admin-ajax.php.

En el día de ayer el autor lanzó un fix para estas vulnerabilidades en su version 1.3.7 por lo que se recomienda fuertemente actualizar lo antes posible este plugin.

Repositorio de WordPress: Ultimate Form Builder Lite

Fuente: WordFence

Dejá una respuesta