Publicado el

Vulnerabilidad en Google Doc Embedder para WordPress

Se ha detectado una vulnerabilidad en el plugin Google Doc Embedder para WordPress en versiones hasta la 2.6.4 inclusive. 

Análisis

El plugin Google Doc Embedder para WordPress es vulnerable a la falsificación de petición del lado del servidor a través del shortcode ‘gview’ en versiones hasta la 2.6.4 inclusive.

Esto puede permitir a atacantes autenticados con permisos de nivel de colaborador o superior realizar peticiones web a ubicaciones arbitrarias originadas desde la aplicación web y puede utilizarse para consultar y modificar información de servicios internos.

Se le ha asignado CVE-2024-0216

Recursos afectados

Versiones anteriores a la 2.6.4, inclusive.

Recomendaciones

No se conoce ningún parche disponible, como recomendación se puede desinstalar el software afectado y buscar un sustituto.

Referencias

Publicado el

Fallo en el plugin «WP Automatic» para WordPress

Una vulnerabilidad en el plugin WP Automatic para WordPress permite que un atacante acceda a páginas web, cree un usuario de administrador, suba archivos maliciosos e incluso tome control total sobre los sitios atacados. Aunque esta vulnerabilidad fue descubierta en marzo del 2024, es ahora en abril cuando se está explotando masivamente.

Análisis

Esta vulnerabilidad ha sido catalogada como crítica (9.9) por PatchStack, el NIST aún no ha publicado puntuación. Un fallo de tipo SQL injection permite que un atacante pueda crear usuarios con permisos de administrador para ganar acceso en la página objetivo.

Se le ha asignado el identificador CVE-2024-27956.

Recursos afectados

Plugin WP Automatic en las versiones anteriores a 3.92.1.

Recomendaciones

Instalar la versión 3.9.21 que corrige esta vulnerabilidad.

Referencias

https://nvd.nist.gov/vuln/detail/CVE-2024-27956
https://thehackernews.com/2024/04/hackers-exploiting-wp-automatic-plugin.html
https://wpautomatic.com/

 

Publicado el

CSIRT-CV publica su Informe de Actividad de 2023

El Centro de Seguridad TIC (CSIRT-CV) de la Comunitat Valenciana ha publicado su informe anual sobre actividad, ciberamenzas y tendencias correspondiente al ejercicio de 2023 en el que se recogen las actuaciones más destacadas llevadas a cabo por este ente, que vela por la seguridad de la red en las tres provincias valencianas.

El informe se centra en los servicios más importantes, como la gestión de incidentes, campañas de concienciación dirigidas a los ciudadanos, cursos y formación online, jornadas de ciberseguridad impartidas en los centros de secundaria, análisis de riesgos, etc.

Para consultar en informe, pinchar aquí

Para consultar la infografía del informe de actividad, acceder al siguiente enlace.

Publicado el

#CiberEscudoRenta2023: ¡Protégete de la Ingeniería Social!

El pasado 3 de abril, el Ministerio de Hacienda abrió el plazo para que los contribuyentes comiencen a presentar la Declaración de la Renta perteneciente a 2023 hasta el 1 de julio y, al igual que en años anteriores, los ataques de phishing y smishing suplantando a la Agencia Tributaria no se han hecho esperar.

Ante esta situación, y para alertar a la población y minimizar el número de víctimas de los ciberdelincuentes, CSIRT-CV lanza la campaña #CiberEscudoRenta2023 ¡Protégete de la Ingeniería Social!

Sigue nuestras recomendaciones las próximas semanas en nuestros perfiles de Facebook y X, y también en nuestro portal de concienciación concienciaT pinchando aquí y ¡Protégete de la Ingeniería Social!