El plugin All-in-One WP Migration and Backup, un plugin realmente popular y muy recomendado por la comunidad, que cuenta con más de 5 millones de instalaciones activas debe ser actualizado urgentemente por razones de seguridad.
Wordfence es la empresa que ha descubierto una vulnerabilidad bastante importante, que califica de 7,5 sobre 10, aunque no es crítica. Mediante esta vulnerabilidad, si se cumplen las condiciones adecuadas, un atacante puede eliminar archivos, acceder al sistema y ejecutar código malicioso.
Wordfence ofrece esta descripción del problema en su blog: “El plugin All-in-One WP Migration and Backup para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 7.89 inclusive, mediante la deserialización de entradas no confiables en la función «replace_serialized_values». Esto permite a atacantes no autenticados inyectar un objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable. Si una cadena POP está presente a través de un plugin o tema adicional instalado en el sistema objetivo, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código. Un administrador debe exportar y restaurar una copia de seguridad para activar el exploit.”
Cambia de CMS gratis con expertos
Cambia a un nuevo CMS más rápido y seguro, con inteligencia artificial (IA) incorporada e incluso consigue ahorro. Ya lo hemos conseguido para varios clientes:
Por lo tanto, es urgente actualizar a la última versión del plugin All-in-One WP Migration and Backup, que actualmente es la 7,90. Hay que aclarar que en este caso la vulnerabildiad se produce en una extensión o añadido de WordPress y que en ningún momento el propio WordPress, el núcleo, se ha visto vulnerado ni tiene por qué verse su imagen afectada por este incidente de un tercero.
