La falla del complemento de WordPress permite a los atacan tes falsificar correos electrónicos

Más de 100.000 sitios web de WordPress se ven afectados por una falla de alta gravedad en un complemento que ayuda a los sitios web a enviar correos electrónicos y boletines a los suscriptores.

La vulnerabilidad existe en el complemento Email Subscribers & Newsletters de Icegram, que permite a los usuarios recopilar clientes potenciales y enviar correos electrónicos automatizados de notificación de nuevas publicaciones de blog. Un atacante remoto no autenticado puede aprovechar la falla para enviar correos electrónicos falsificados a todos los destinatarios de las listas de contactos o suscriptores disponibles, con control total sobre el contenido y el asunto del correo electrónico.

En un escenario de ataque de la vida real, un atacante remoto no autenticado podría enviar primero una solicitud especialmente diseñada a un servidor de WordPress vulnerable. Luego, la solicitud programaría un nuevo boletín para enviarlo a una lista completa de contactos, donde el atacante puede establecer arbitrariamente la hora programada, la lista de contactos, el asunto y el contenido del correo electrónico que se transmite.

“Esto podría usarse para realizar un ataque de phishing o una estafa, similar al ataque experimentado recientemente por Twitter , donde se ataca a personas de la lista de correo de una organización en particular”, dijo Peña . "Como el correo electrónico proviene de una fuente confiable, es más probable que los destinatarios confíen en la comunicación y se convenzan por su contenido".

Para corregir la falla, los usuarios deben "actualizar al plugin WordPress Email Subscribers & Newsletters por Icegram versión 4.5.6 o superior", según los investigadores de Tenable, que descubrieron la falla, en un aviso el jueves.

La falla ( CVE-2020-5780 ) se ubica en 7.5 de 10 en la escala CVSS, por lo que es de alta gravedad. Afecta a las versiones 4.5.5 y anteriores del complemento Boletines y suscriptores de correo electrónico de WordPress.

El problema se debe a una vulnerabilidad de falsificación / suplantación de correo electrónico en la clase class-es-newsletters.php.

Ver información original al respecto en Fuente>

https://www.seguridadyfirewall.cl/2020/09/la-falla-del-complemento-de-wordpress.html

Top descargas

Seguridad y privacidad para Windows

Ultimas actualizaciones

Seguridad y privacidad para Windows

Historico por Años