Vulnerabilidad en un plugin de WordPress. El plugin de MailPoet Newsletter, antes conocido como wysija-newsletters, podría poner en peligro a muchos de los usuarios de WordPress que usan dicho plugin para el envío de newsletter a sus suscriptores. Y es que ha sido encontrada una vulnerabilidad crítica que permitiría a un atacante tomar el control de un sitio en WordPress que emplee MailPoet Newsletter.
Este fallo, descubierto por investigadores de la empresa de seguridad Sucuri, permite la carga de cualquier archivo PHP, de modo que un atacante podría utilizar una web para señuelos de phishing, enviar correo o albergar malware e infectar a otros clientes. Un fallo resultado de que los desarrolladores de MailPoet asumieran erróneamente que «admin_init» en WordPress sólo se activa cuando un administrador visita páginas desde el panel de administración.
La importancia de esta vulnerabilidad se acentúa si tenemos en cuenta que este plugin ha sido descargado más de 1.7 millones de veces, de manera que se recomienda la actualización del plugin a la última versión, la 2.6.8, donde ha sido parcheada la vulnerabilidad.
Si necesitas asesoría sobre seguridad en tu sitio web, podemos ayudarte. Puedes ponerte en contacto con nosotros a través de nuestro formulario de contacto y te atenderemos enseguida.