Portada Wordpress Plugin WooCommerce Stock Manager con Problemas de Seguridad Detectado
El plugin WooCommerce Stock Manager para WordPress, se ha visto comprometido y es necesario actualizarlo a una versión parcheada.
Si lo estás usando en alguna instalación de WordPress, deberías comprobar que estás utilizando una versión correcta del plugin.
La versión parcheada del plugin es la 2.6.0, si estás usando la versión 2.5.7 o anterior del plugin, tu sitio está en peligro.
El problema es grave y aunque el desarrollador ya lo ha solucionado, si no actualizas el plugin, no servirá de nada y el sitio estará en peligro.
Sólo tienes que acceder a tu instalación de WordPress y actualizar el plugin a la versión 2.6.0 o posterior. También puedes descargarla de la web, si prefieres instalarla de manera manual.
El plugin WooCommerce Stock Manager se utiliza para gestionar el stock de las tiendas online y físicas, algo muy útil si vendes en los dos formatos y usas el mismo stock de forma centralizada.
Una de las opciones de las que dispone el plugin, es la de exportar e importar los productos, para por ejemplo, importar los productos nuevos en bloque.
Esta opción tenía un problema de seguridad en las versiones no parcheadas, un atacante podía utilizar este fallo en la seguridad para engañar a un administrador y subir archivos con contenido malicioso.
Una vez subido un archivo con el código malicioso, ya dependería de la habilidad del atacante, pero podría apoderarse por completo del sitio web, borrar contenido, crear redirecciones, etc…
Cuando hablamos de «engañar a un administrador», se trata de algo tan sencillo como que haga click en un enlace de un correo electrónico, comentario, noticia, etc…, cuando está logueado en WordPress.
Aunque este entrañe cierta dificultad, no parece algo impensable, por lo que el riesgo está ahí y actualizar el plugin es la mejor opción.
Otro problema relacionado es que el plugin no identificaba si los archivos CSV subidos, eran en realidad archivo CSV o estaban enmascarados.
Tampoco comprobaban si el archivo contenía código malicioso, por lo que el problema, una vez explotada la vulnerabilidad, ya tenía vía libre para desarrollar el ataque.
El problema de seguridad fue detectado por el equipo de Wordfence hace unos días, avisando al desarrollador del problema de inmediato.
Después de realizar las modificaciones pertinente, el desarrollador lanzó la versión 2.6.0 del plugin, ya parcheada con la solución, para que los usuarios pudieran actualizarla.
La versión parcheada del plugin se subió al repositorio de WordPress hace tres semanas, por lo que ya hace bastantes días que está disponible para todos los usuarios que utilicen el plugin WooCommerce Stock Manager.
Hasta ahora no se ha detectado ningún caso de ningún ataque que haya aprovechado esta vulnerabilidad, lo que no quiere decir que no hayan ocurrido.
Pero no hay que confiarse, ya que al hacerse público, es muy probable con se realicen intentos de ataques para aprovechar a los «rezagados» que no hayan actualizado el plugin todavía.
Los atacantes saben que no todo el mundo actualiza los plugins, así que conociendo la vulnerabilidad, puede diseñar un plan de ataque, así que mejor actualizar cuanto antes.
Si estás buscando un hosting web para WordPress, en Hostinet podemos ofrecerte alojamiento web con discos SSD, con IP española. certificados SSL gratuitos, servidor web LiteSpeed y detector de malware.
Dispones de distintos planes en los que puedes elegir, pero las características principales son comunes en todos lo planes de hosting WordPress disponibles.