Una vulnerabilidad en el popular plugin MailPoet para WordPress ha afectado hasta ahora a 50.000 sitios web.

El plugin para newsletters contiene una vulnerabilidad detectada a comienzos de julio por la empresa de seguridad Sucuri, que permite a hackers subir archivos de forma remota a un sitio, eludiendo el proceso de autenticación que requiere nombre de usuario y contraseña.

Los creadores de MailPoet reaccionaron con celeridad lanzando el mismo día una nueva versión del software. Sin embargo, al parecer la información sobre la versión parcheada no ha llegado a todos los usuarios, según escribe Sucuri.

Hasta la fecha, el plug-in ha sido descargado alrededor de 1,7 millones de veces.

Los investigadores de Sucuri han confirmado que miles de sitios web de WordPress han sido atacados, y que hackers han aprovechado la vulnerabilidad MailPoet para inyectar software malicioso en los sitios.

El software malicioso se ha descubierto que numerosos archivos de WordPress corruptos, que generan notificaciones de errores en PHP que aparecen en los sitios afectados.

Sin embargo, el problema no sólo afecta a los sitios que utilizan la versión infectada de MailPoet, según Sucuri. “La vulnerabilidad MailPoet es el punto de entrada, que no significa que su sitio web tiene que tener habilitada la extensión, o en realidad siquiera tenerla instalada; si reside en el servidor, en un sitio web vecino, todavía puede afectar a su sitio web”, escribe Sucuri en su blog.

Esta capacidad de propagación lleva a Sucuri a recomendar la actualización inmediata de MailPoet.

Comparta este contenido