La falla del complemento de WordPress permite a los atacantes falsificar correos electrónicos

Publicado el 15 septiembre 2020 ¬ 4:49 amh.mscComentarios desactivados en La falla del complemento de WordPress permite a los atacantes falsificar correos electrónicos

Más de 100.000 sitios web de WordPress se ven afectados por una falla de alta gravedad en un complemento que ayuda a los sitios web a enviar correos electrónicos y boletines a los suscriptores.

La vulnerabilidad existe en el complemento Email Subscribers & Newsletters de Icegram, que permite a los usuarios recopilar clientes potenciales y enviar correos electrónicos automatizados de notificación de nuevas publicaciones de blog. Un atacante remoto no autenticado puede aprovechar la falla para enviar correos electrónicos falsificados a todos los destinatarios de las listas de contactos o suscriptores disponibles, con control total sobre el contenido y el asunto del correo electrónico.

En un escenario de ataque de la vida real, un atacante remoto no autenticado podría enviar primero una solicitud especialmente diseñada a un servidor de WordPress vulnerable. Luego, la solicitud programaría un nuevo boletín para enviarlo a una lista completa de contactos, donde el atacante puede establecer arbitrariamente la hora programada, la lista de contactos, el asunto y el contenido del correo electrónico que se transmite.

“Esto podría usarse para realizar un ataque de phishing o una estafa, similar al ataque experimentado recientemente por Twitter , donde se ataca a personas de la lista de correo de una organización en particular”, dijo Peña . “Como el correo electrónico proviene de una fuente confiable, es más probable que los destinatarios confíen en la comunicación y se convenzan por su contenido”.

Para corregir la falla, los usuarios deben “actualizar al plugin WordPress Email Subscribers & Newsletters por Icegram versión 4.5.6 o superior”, según los investigadores de Tenable, que descubrieron la falla, en un aviso el jueves.

La falla ( CVE-2020-5780 ) se ubica en 7.5 de 10 en la escala CVSS, por lo que es de alta gravedad. Afecta a las versiones 4.5.5 y anteriores del complemento Boletines y suscriptores de correo electrónico de WordPress.

El problema se debe a una vulnerabilidad de falsificación / suplantación de correo electrónico en la clase class-es-newsletters.php.

 

Ver información original al respecto en Fuente>
https://www.seguridadyfirewall.cl/2020/09/la-falla-del-complemento-de-wordpress.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies