Vulnerabilidad en All-in-One Migration de wordpress CVE-2023-40004

WordPress es una plataforma de gestión de contenidos (CMS) muy popular, utilizada por millones de sitios web en todo el mundo. Sin embargo, como cualquier software, WordPress no es inmune a las vulnerabilidades.

Recientemente, se ha descubierto una vulnerabilidad en el plugin All-in-One WP Migration, que podría exponer sitios web a ciberataques. La vulnerabilidad, que se ha calificado de «alta gravedad», permite a un atacante tomar el control completo de un sitio web.

Vulnerabilidad CVE-2023-40004

El CVE-2023-40004 es una vulnerabilidad de manipulación de tokens no autenticada que afecta a las extensiones de All-in-One WP Migration para Box, Google Drive, OneDrive y Dropbox.

La vulnerabilidad se encuentra en el plugin All-in-One WP Migration, que es un plugin popular para realizar copias de seguridad y migraciones de sitios web de WordPress. La vulnerabilidad permite a un atacante crear una cuenta de administrador en un sitio web que tenga el plugin instalado.

Una vez que el atacante tiene una cuenta de administrador, puede tomar el control completo del sitio web. Esto incluye la capacidad de modificar el contenido, acceder a los datos de los usuarios y realizar cambios en la configuración del sitio web.

Los usuarios de WordPress que tengan instalado el plugin All-in-One WP Migration deben actualizarlo a la versión 7.63 o superior lo antes posible. Esta versión corrige la vulnerabilidad.

Además de actualizar el plugin, los usuarios también deben seguir estas prácticas recomendadas para mejorar la seguridad de sus sitios web de WordPress:

• Instalar sólo plugins de fuentes de confianza.
• Mantener actualizados los plugins y el núcleo de WordPress.
• Utilizar un firewall web.
• Realizar copias de seguridad regulares de su sitio web.