800.000 páginas de WordPress siguen siendo vulnerables a ataques porque los usuarios se están olvidando de parchear sus sitios de WordPress.

Hay que recordar que hace semanas se encontraron dos fallos críticos en un popular plugin de WordPress y aunque fueron parcheados hace semanas, cientos de miles de usuarios aún no han desplegado la actualización, lo que pone sus sitios en riesgo.

El plugin "All in One" SEO WordPress era vulnerable a dos fallos: CVE-2021-25036, que es un fallo crítico de escalada de privilegios autentificada, y CVE-2021-25037, un fallo de alta gravedad de inyección SQL autentificada.

Falta gente por actualizar el parche

En total, se llegó a estimar que tres millones de sitios eran vulnerables al error. En las últimas dos semanas, desde que los desarrolladores del plugin publicaron el parche, se actualizaron más de dos millones de plugins, con lo que unos 820.000 siguen siendo vulnerables.

En Genbeta

Una brecha de seguridad roba los datos de 1,2 millones de usuarios de Wordpress: así fue el ataque que podría acabar en phishing

Aunque las fallas requieren que el atacante se autentique con WordPress, sólo necesitan permisos de bajo nivel, como el de Suscriptor, para funcionar. Normalmente, un suscriptor solo puede publicar comentarios y editar su propio perfil, pero con CVE-2021-25036, puede elevar sus privilegios y ejecutar código de forma remota en las webs vulnerables.

El …