Más de tres millones de sitios web de WordPress recibieron una actualización de emergencia para corregir una falla crítica en un plugin de un tercero conocido como UpdraftPlus.
De acuerdo con un reporte, esta vulnerabilidad exponía los datos de las copias de seguridad de las páginas ante ataques potenciales.
UpdraftPlus lanzó dos actualizaciones de seguridad para las versiones 1.22.3 (gratuita) y 2.22.3 (de pago), y en un comunicado recomendó su uso de manera inmediata a los administradores de sitios web.
El plugin de UpdraftPlus permite a los usuarios crear y restaurar copias de seguridad de sitios web. La compañía solicitó el parche, ya que la vulnerabilidad hacía que cualquier persona con una cuenta pudiera descargar toda la base de datos de un sitio.
La falla fue descubierta por el investigador en seguridad Marc Montpas, que indicó que “esta es bastante fácil de explotar, con algunos resultados muy malos si se explota”, mencionó en un artículo de ArsTechnica.
“Hizo posible que usuarios con pocos privilegios pudieran descargar las copias de seguridad de un sitio, que incluyen copias de seguridad de la base de datos sin procesar”, agregó.
Según Montpas, hasta el jueves de la semana pasada, cerca de 1.7 millones de sitios ya habían recibido el parche, de un total de más de tres millones de usuarios.
Las personas que utilizan WordPress con el recurso de UpdraftPlus deben revisar que el plugin se actualizó de manera automática a la versión 1.22.4 o posterior si es gratuita, o a la 2.22.4 en el caso de que se trate de una versión de pago.