Sitios web en WordPress pueden quedar bajo control remoto por una falla en complemento de formularios — hay actualización disponible
Se explota activamente una falla en Everest Forms Pro, complemento de WordPress con ~4,000 instalaciones activas. Permite tomar control completo del sitio sin necesidad de usuario ni contraseña. La actualización ya está disponible.
Qué ocurrió
Atacantes están explotando activamente una falla crítica en Everest Forms Pro, un complemento para WordPress que permite crear formularios de contacto, registro y pago. La falla permite ejecutar instrucciones en el servidor del sitio sin necesidad de tener usuario ni contraseña — acceso completo desde afuera. Afecta a todas las versiones del complemento hasta la 1.9.12. Ya existe una versión corregida disponible.
Quién está expuesto
Para personas
Visitantes de sitios web que usen este complemento. Si el sitio es comprometido, puede ser alterado para mostrar contenido falso o para recopilar datos de quienes lo visiten sin que lo noten.
Para organizaciones
Empresas con sitios web construidos en WordPress que tengan instalado Everest Forms Pro. Si el complemento no está actualizado, el sitio está expuesto en este momento. El tamaño del negocio no importa — la falla afecta a cualquier instalación sin distinción.
Impacto potencial
Un atacante con control del sitio puede modificar contenido, redirigir visitantes a sitios maliciosos, robar datos de formularios de contacto o cotización, e instalar código adicional que siga activo aunque se detecte el problema inicial. Para una empresa, el daño incluye pérdida de confianza de clientes, datos comprometidos y posible responsabilidad legal si se expone información personal de visitantes.
Leer fuente original →