• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Vulnerabilidad SQL Injection parcheada en plugin AntiSpam de 100.000 WordPress

Vulnerabilidad SQL Injection parcheada en plugin AntiSpam de 100.000 WordPress

10 mayo, 2021 Por Patricia González Deja un comentario

El equipo de Threat Intelligence de Wordfence descubrió recientemente una vulnerabilidad Time-Based Blind SQL Injection en un conocido plugin AntiSpam de WordPress, e inició su divulgación responsable para que fuera parcheada cuanto antes.

Spam protection, AntiSpam, FireWall por CleanTalk

Hablamos del plugin Spam protection, AntiSpam, FireWall, desarrollado por la compañía CleanTalk que, según el repositorio oficial de WordPress, se encuentra presente en más de 100.000 instalaciones activas del CMS, estando bastante bien valorado por los usuarios. Este complemento se usa como plugin antispam en comentarios, registros o pedidos, entre otras secciones, y soporta otros plugins como los populares Contact Fom 7, Ninja Form, Gravity Form, WooCommerce, MailChimp o JetPack.

Por otra parte, la vulnerabilidad detectada afecta a versiones anteriores a la 5.153.4, en la cual ya se encuentra corregida, y ha sido etiquetada como CVE-2021-24295 y catalogada como de riesgo alto. A través de la explotación de la misma, podría extraerse información sensible de la base de datos de un sitio web, incluidos los correos electrónicos y los ‘hashes’ de las contraseñas sin que se requiera iniciar sesión:

This exploit could be used by unauthenticated visitors to steal user email addresses, password hashes, and other sensitive information.

Equipo Threat Intelligence de Wordfence

Cabe destacar que el plugin antispam desarrollado por CleanTalk contaba ya en su código con medidas que dificultaban ataques de inyección SQL exitosos, como indican desde Wordfence, en cuyo blog se pueden conocer los detalles técnicos sobre este hallazgo. El error fue corregido en la versión 5.153.4 del plugin lanzada el 10 de Marzo, solo unos días después de que sus responsables fueran avisados por la compañía de seguridad.

Más información:
Spam protection, AntiSpam, FireWall by CleanTalk
https://wordpress.org/plugins/cleantalk-spam-protect/

SQL Injection Vulnerability Patched in CleanTalk AntiSpam Plugin
https://www.wordfence.com/blog/2021/05/sql-injection-vulnerability-patched-in-cleantalk-antispam-plugin/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking con buscadores

Hacking de dispositivos iOS

Publicado en: General Etiquetado como: SQL injection, WordPress

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Reacción ante ciberataques... en vacaciones

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...