 |
||
| ALERTAS | ||
Explotación de la vulnerabilidad de WordPress en su Api RestPublicado el: El CCN-CERT desea advertir sobre la vulnerabilidad grave de WordPress que afecta a su versión 4.7.0 y 4.7.1, y que, en caso de explotación, podría permitir a usuarios no autenticados modificar el contenido de cualquier publicación o página dentro de este software de código abierto. La vulnerabilidad de escalado de privilegios afecta al REST API de WordPress que se agregó recientemente y está habilitada de forma predeterminada en todos los sitios web que utilizan el WordPress 4.7.0 o 4.7.1. Por ello sistemas que se instalaron o actualizaron a estas versiones se encuentran en un estado de riesgo. La vulnerabilidad realiza peticiones sobre la ruta “/wp-json/wp/v2/posts/” y en caso de éxito permite la modificación de las publicaciones del portal. Para solventar el problema se ruega la actualización de WorPress a su última versión. En caso de no poder actualizar todo el sistema, se recomienda actualizar el módulo afectado, tal y como se indica en el siguiente enlace proporcionado por el equipo de desarrollo de este software: También se aconseja, como medidas adicionales, deshabilitar el uso de Api Rest en los portales de Wordpress si no se hace uso de ello y bloquear dichas peticiones en su firewall de aplicación a estas peticiones o/y url. Más información: Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo: Síganos en:
////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas. --------------------- ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: |
||
| © 2017 Centro Criptológico Nacional, Argentona 20, 28023 MADRID | ||
