La situación con WordPress inició hace semanas por dos fallos críticos en el popular plugin “All in One” y que pone en situación de vulnerabilidad a muchas páginas.
El plugin era vulnerable a dos fallos principalmente: CVE-2021-25037 que es un error de alta gravedad de inyección SQL autentificada y el CVE-2021-25036, un fallo crítico de escalada de privilegios autentificada.
¿Cómo solucionar este problema del plugin “All in One”?
WordPress actuó para eliminar este problema y envió parches en forma de actualización para que se solucionaran estos problemas que se generaban en diferentes páginas.
El problema es que si bien existe solución para el plugin “All in One”, muchos usuarios no han instalado esta actualización y sus sitios están en peligro.
WordPress ha indicado que también cuenta con otro problema y es que necesita más gente para actualizar el parche y que solucione este error en todas las páginas de los usuarios de la plataforma.
La cifra de páginas vulnerables era de 3 millones, sin embargo después de la actualización, la compañía consiguió reducir ese número a 820,000.
La cantidad de sitios vulnerables de WordPress sigue siendo muy alta y es por esto la preocupación y el interés por eliminar estos errores para volver a la normalidad.
El primero en detectar este error fue Marc Montpas, investigador de seguridad de Automattic, quien aseguró que era muy fácil aprovecharse de estos errores.
La situación era tan crítica que la persona que fuera aprovecharse de este problema, solo tenía que cambiar un solo carácter a mayúscula y evitaba todas las comprobaciones de privilegios.
Los sitios de WordPress que sigan utilizando este plugin, deben actualizarlo con la mayor rapidez posible a la versión 4.1.5.3 del 14 de diciembre de este año y así evitar muchos problemas en sus sitios.