Posted on

Vulnerabilitat crítica en tema Alone de WordPress

Recentment s’ha descobert que el tema Alone – Charity Multipurpose Non-profit WordPress per a WordPress sense ànims de lucre i caritatiu és vulnerable. Esta comunicació té com a objectiu informar, analitzar l’impacte i proveir recomanacions concretes per a mitigar el risc.

La vulnerabilitat CVE‑2025‑5394, anunciada per INCIBE‑CERT el 15 de juliol de 2025, afecta el tema Alone per a WordPress en totes les seues versions fins a la 7.8.3, inclusivament. La fallada residix en la funció alone_import_pack_install_plugin() que exposa un endpoint AJAX sense verificació de permisos, la qual cosa permet a atacants no autenticats pujar arxius ZIP amb plug-in maliciosos (webshells) i executar codi remot (RCE) amb control total del lloc.

Segons informes d’HispaSec, esta fallada està sent explotada activament, amb multitud d’intents de càrrega de portes de darrere (backdoors) en llocs vulnerables. S’estima que el tema compta amb prop de 10.000 vendes, sent usat principalment per organitzacions sense ànim de lucre i fundacions, la qual cosa amplifica l’impacte potencial.

La fallada és extremadament greu: el CVSS v3.1 assigna una puntuació base de 9.80 (Crítica/Control total). L’explotació no requerix autenticació, no necessita interacció de l’usuari i és d’accés directe des de la xarxa.

 

Recursos afectats

    • Tema WordPress Alone – Charity Multipurpose Non‑profit, versions fins a la 7.8.3,
    • Llocs WordPress que utilitzen este tema en entorns públics exposats a Internet.

 

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

    1. Actualitzar immediatamentel tema Alone a la versió 8.5 o superior, que corregix la vulnerabilitat.
    2. Bloquejar temporalmentl’endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin), si no és possible, actualitzar immediatament; pot implementar-se mitjançant WAF o IDS/.
    3. Analitzar registres i activitat inusual, buscant càrregues de connectors (plugin), arxius ZIP no autoritzats o creació d’usuaris administratius desconeguts.
    4. Canviar credencials crítiques, incloent-hi comptes d’administrador WordPress, FTP, allotjament (hosting) i base de dades, si se sospita compromís.
    5. Restaurar des de còpies netessi es detecten backdoors o accessos ocults i desactivar arxius sospitosos.
    6. Reforç general de seguretat: mantín WordPress, temes i plug-in sempre actualitzats; utilitza autenticació de dos factors; aplica permisos mínims; i monitora activitat amb plug-in com ara Wordfence o Sucuri b.

Referències

Posted on

Alerta de seguridad: Vulnerabilidad crítica Microsoft Exchange Server

Recentment s’ha descobert una vulnerabilitat d’alta criticitat (CVE‑2025‑53786) que afecta desplegaments híbrids de Microsoft Exchange Server. Un actor amb privilegis administratius en el servidor local podria escalar privilegis en l’entorn en el núvol (Exchange en línia), sense deixar rastres fàcilment detectables.

La fallada residix en l’ús compartit del servici principal (service principal) entre el servidor Exchange local i Exchange en línia, la qual cosa permet a un atacant amb permisos administratius en el servidor on‑premises manipular testimonis d’autenticació (tokens) o les anomenades API, enganyant l’entorn en el núvol que confia implícitament en el servidor local.

Microsoft ha qualificat la situació com d’alta gravetat i ha publicat un hotfix d’abril de 2025 a més de recomanacions específiques com el desplegament d’una app híbrida dedicada a la neteja del servici principal (mode “Service Principal Clean‑Up”), i l’ús del Health Checker d’Exchange

CISA, per l seua part, ha emés una alerta en què insta organitzacions a implementar estes mesures sense demora, i advertix que la vulnerabilitat podria comprometre la integritat de la identitat en Exchange en línia i portar a un “compromís total del domini híbrid i local”. A més, recomana desconnectar d’Internet els servidors Exchange o SharePoint que hagen arribat a la fi de la seua vida útil o ja no hi donen servici.

Encara que no s’han reportat casos d’explotació fins a la data, CISA considera que “l’explotació és molt probable”, donada l’existència de condicions per a realitzar explotadors (exploits).

 

Recursos afectats

    • Microsoft Exchange Server 2016 (entorns híbrids)
    • Microsoft Exchange Server 2019 (entorns híbrids)
    • Microsoft Exchange Server Subscription Edition (versions inicials que integren funcionalitats híbrides)
    • Servicis relacionats amb Exchange en línia i infraestructures híbrides d’autenticació.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

  1. Revisar i aplicar les directrius publicades en l’anunci de Microsoft, del 18 d’abril de 2025, sobre seguretat en desplegaments híbrids.
  2. Instal·lar el hotfix d’abril de 2025 (o posterior) en tots els servidors Exchange on‑premises.
  3. Desplegar l’aplicació híbrida dedicada (dedicated hybrid app) segons les instruccions oficials.
  4. Si ja no utilitzes l’entorn híbrid o OAuth entre Exchange local i Exchange en línia, executa el procés de «Service Principal Clean‑Up» per a restablir les keyCredentials.
  5. Executar el Microsoft Exchange Health Checker després d’aplicar les mesures per a verificar l’estat de l’entorn.
  6. Desconnectar servidors Exchange i SharePoint que ja no reben suport oficial o estiguen a la fi de vida (EOL/EOS) d’accés públic a Internet.
  7. Considerar la migració a Exchange en línia o l’actualització a Exchange Server Subscription Edition per a entorns heretats en suport limitat.

Referències

Posted on

Microsoft corregeix 130 vulnerabilitats

Les actualitzacions de seguretat de dimarts de correccions de Microsoft de juliol de 2025 aborden 130 vulnerabilitats en Windows i components de Windows, Office i components d’Office, .NET i Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (basat en Chromium) i el servici criptogràfic de Windows.

Anàlisi

Les vulnerabilitats de severitat crítiques són dels tipus següents:

    • La vulnerabilitat CVE-2025-49719 (puntuació CVSS de 7,5) és una fallada de divulgació d’informació en Microsoft SQL Server que permet atacants remots no autenticats accedir a memòria no inicialitzada a causa d’una validació d’entrada incorrecta.
    • La vulnerabilitat CVE-2025-47981 (puntuació CVSS de 9,8) és un problema RCE crític i wormable en Windows SPNEGO NEGOEX. Permet als atacants remots executar codi a través d’un missatge maliciós, sense necessitat d’interacció per part de l’usuari. La fallada implica un desbordament de memòria (buffer) basat en monticle (heap) i s’executa amb privilegis elevats. Microsoft espera una explotació activa en un termini de 30 dies i insta una ràpida aplicació de actualització.
    • La vulnerabilitat CVE-2025-49695 (puntuació CVSS de 8,8) és una vulnerabilitat RCE de Microsoft Office explotable a través del panell de vista prèvia. Els usuaris de Mac continuen desprotegits, ja que les correccions per a Office LTSC 2021 i 2024 encara no estan disponibles.

La informació detallada per a la resta de vulnerabilitats es pot consultar en les referències.

Recursos afectats

    • SQL Server
    • Windows Components
    • Office and Office Components
    • .NET and Visual Studio
    • Windows BitLocker
    • Microsoft Edge

Recomanacions

El fabricant recomana que el client visite el portal de suport i aplique les correccions de manera prioritària. A més, Microsoft recomana actualitzar SQL Server i instal·lar OLE DB Driver 18 o 19 per a solucionar el problema; i desactivar el panell de vista prèvia fins que Microsoft resolga estos problemes.

Referències

Posted on

Una vulnerabilitat en Forminator exposa més de 600.000 webs WordPress

Més de 600.000 llocs web basats en WordPress es troben en risc per una vulnerabilitat crítica en el plugin Forminator, segons ha informat el mitjà de comunicació Wordfence.

La fallada de seguretat, identificada com a CVE-2024-28890, permet que atacants no autenticats eliminen fitxers arbitraris del servidor mitjançant una explotació en la funcionalitat de pujada d’arxius del plugin. Això pot derivar en l’eliminació de fitxers crítics del sistema, com ara el wp-config.php, fet que facilita la presa de control total del lloc web afectat.

Segons ha detallat Wordfence, els investigadors van descobrir la vulnerabilitat el passat 26 de juny de 2025 i es va solucionar l’1 de juliol amb la versió 1.29.3 de Forminator. Aquest plugin, desenvolupat per WPMU DEV, s’utilitza àmpliament per a crear formularis, enquestes i qüestionaris en pàgines WordPress. En la seua versió vulnerable, 1.29.2 i anteriors, els mecanismes de seguretat no bloquejaven adequadament intents de suprimir fitxers fora del directori autoritzat, la qual cosa permetia abusar del mecanisme de pujada per a executar accions destructives.

El plugin comptava, en el moment de la divulgació, amb més de 600.000 instal·lacions actives, encara que altres fonts com BleepingComputer i SecurityWeek indicaven xifres una mica inferiors —prop de 400.000 webs—, possiblement per la diferència entre instal·lacions actives i llocs encara no actualitzats.

La fallada es troba en l’endpoint Forminator\Pro\Filesystem::unlink_file, el qual no disposava de comprovacions suficients per a evitar manipulacions de la ruta dels fitxers (path traversal). Un cop eliminat un fitxer essencial, els atacants poden reiniciar el procés d’instal·lació de WordPress i aconseguir privilegis administratius sense necessitat d’autenticació.

Des de Wordfence també han confirmat que no s’han detectat intents massius d’explotació fins al moment de la publicació de l’informe, tot i que es considera molt probable que es produïsquen atacs reals donat l’elevat nombre de webs vulnerables.

Els experts recomanen actualitzar immediatament a la versió segura del plugin (Forminator 1.29.3 o superior) i revisar els registres del sistema per a detectar accessos o eliminacions sospitoses.

Recursos vulnerables

    • Totes les versions fins a la 1.29.2

Versió estable

    • 1.29.3 i posteriors

Referència:

      • https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
      • https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
      • https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
      • https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/