Todos los plugins y temas que usan Freemius Framework, una plataforma de venta y actualizaciones de plugins premium, están afectados por una grave vulnerabilidad de la que .
Según ha informado WPScan, las versiones inseguras de Freemius Framework incluidas en los plugins y temas afectados podrían estar haciendo llamadas no autorizadas mediante AJAX.
Como resultado, cualquier usuario registrado, aunque sea como suscriptor, podría acceder a los registros de depuración. Atacantes no registrados también podrían hacer que un administrador conectado cambie el modo de depuración a través de un ataque CSRF.
La lista de plugins afectados es inmensa, y entre ellos encontrarás algunos realmente populares, pero lo peor es que para muchos de ellos aún no ha habido ninguna actualización que solucione el problema, así que revisa tu lista de plugins y temas, y si descubres que estás usando una versión insegura de alguno desactívalo y bórralo, y sustitúyelo por otro similar hasta que haya una actualización segura.
En cuanto a los temas vulnerables no es tan grande, y no están entre ellos los más populares, pero en los plugins vulnerables aún si parche o actualización vas a encontrar algunos tan conocidos y utilizados como: Premmerce (todos), Stackable Blocks, Ocean Extra, Events Tickets, Ultimate Blocks, Advanced Addons for Elementor y más.
Así que no dejes nada al azar, revisa la lista y toma medidas urgentemente…
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Gracias por el aviso Fernando. Hemos actualizado nuestros plugins eliminando la vulnerabilidad.
Pues os quito de la lista 🙂
Muchas gracias Fernando por la información
Thanks for the share, Fernando. This is Vova from Freemius. While obviously it’s important to update to secure versions and we urge everyone to do so, it’s worth highlighting that the reported security issues are not weakening the security of WP websites.
Here’s our official disclosure:
https://freemius.com/blog/managing-security-issues-open-source-freemius-sdk-security-disclosure/
Hi Vova and than you for the update
Y dicen ser una store segura ya no se puede confiar en nada