Inicio de zonavirus, antivirus
zonavirus / noticias / vulnerabilidad sql injection parcheada en plugin antispam instalado en más de 100.000 wordpress

Vulnerabilidad SQL Injection parcheada en plugin AntiSpam instalado en más de 100.000 WordPress

msc hotline sat
Tuesday, May 11, 2021
Vulnerabilidad SQL Injection parcheada en plugin AntiSpam instalado en más de 100.000 WordPress





El equipo de Threat Intelligence de Wordfence descubrió recientemente una vulnerabilidad Time-Based Blind SQL Injection en un conocido plugin de WordPress, e inició su divulgación responsable para que fuera parcheada cuanto antes.





Spam protection, AntiSpam, FireWall por CleanTalk



Hablamos del plugin Spam protection, AntiSpam, FireWall, desarrollado por la compañía CleanTalk que, según el repositorio oficial de WordPress, se encuentra presente en más de 100.000 instalaciones activas del CMS, estando bastante bien valorado por los usuarios. Este complemento se usa para combatir el spam en comentarios, registros o pedidos, entre otras secciones, y soporta otros plugins como los populares Contact Fom 7, Ninja Form, Gravity Form, WooCommerce, MailChimp o JetPack.



Por otra parte, la vulnerabilidad detectada afecta a versiones anteriores a la 5.153.4, en la cual ya se encuentra corregida, y ha sido etiquetada como CVE-2021-24295 y catalogada como de riesgo alto. A través de la explotación de la misma, podría extraerse información sensible de la base de datos de un sitio web, incluidos los correos electrónicos y los ‘hashes’ de las contraseñas sin que se requiera iniciar sesión:



This exploit could be used by unauthenticated visitors to steal user email addresses, password hashes, and other sensitive information.



Equipo Threat Intelligence de Wordfence



Cabe destacar que el plugin desarrollado por CleanTalk contaba ya en su código con medidas que dificultaban ataques de inyección SQL exitosos, como indican desde Wordfence, en cuyo blog se pueden conocer los detalles técnicos sobre este hallazgo. El error fue corregido en la versión 5.153.4 del plugin lanzada el 10 de Marzo, solo unos días después de que sus responsables fueran avisados por la compañía de seguridad.









Ver información original al respecto en Fuente>

https://unaaldia.hispasec.com/2021/05/vulnerabilidad-sql-injection-parcheada-en-plugin-antispam-instalado-en-mas-de-100-000-wordpress.html

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
zonavirus / noticias / vulnerabilidad sql injection parcheada en plugin antispam instalado en más de 100.000 wordpress
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto