Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1801
)
- ► septiembre (Total: 148 )
-
▼
agosto
(Total:
100
)
-
Limitar el ancho de banda dinámicamente con OPNsense
-
El código del controlador de disquetes de Linux re...
-
Ciberataque de ransomware al Ayuntamiento de Elche...
-
«ChatGPT mató a mi hijo»: padres demandan a OpenAI...
-
Claude, Anthropic confirma que su IA se usó en cib...
-
El “LaLigaGate” llega al Congreso: ERC exige expli...
-
PromptLock, el primer ransomware potenciado por IA
-
LaLiga de Tebas usa los servicios de Cloudflare pa...
-
El nuevo sinsentido de LaLiga: denunciar a las web...
-
Linux cumple 34 años: de pasatiempo universitario ...
-
Cuidado con los iconos de Windows: los ciberataque...
-
Citrix corrige tres vulnerabilidades de NetScaler ...
-
Vulnerabilidad crítica en Docker Desktop para Wind...
-
Le diagnosticaron un cáncer terminal, se divorció ...
-
LaLiga amenaza con acciones legales a los dueños d...
-
Auchan Francia es víctima de una brecha de datos
-
Elon Musk demanda a Apple y OpenAI por dificultar ...
-
Detenido un profesor de Jaén por hackear la plataf...
-
DeepSeek V3.1: la nueva IA china gratuita que desa...
-
xAI libera Grok 2.5 como modelo de código abierto ...
-
El gobierno de Estados Unidos adquiere el 10 % de ...
-
Qwen-Image-Edit: la IA que permite editar imágenes...
-
Microsoft denuncia que un programa identificado co...
-
Extensión VPN de Chrome con 100 mil instalaciones ...
-
Así logran suplantar a Booking si no te fijas bien...
-
China presenta un dispositivo capaz de cortar cabl...
-
Grupo pro ruso NoName057 vuelve a la carga y se es...
-
Detenido Shishi, el fundador de AI Angulo TV
-
Después de un ataque, la página web del CGE perman...
-
LibreOffice 25.8 llega con mejoras de rendimiento,...
-
Alertan sobre la metamorfosis del ransomware graci...
-
A la venta los credenciales de 15,8 millones de cu...
-
Debian 13 “Trixie”: una nueva etapa para la distri...
-
Phison reconoce los problemas que tienen algunos S...
-
Volkswagen lanza una suscripción al estilo Netflix...
-
Descubren que el chatbot de Lenovo puede convertir...
-
Las visitas a páginas porno se desploman "drástica...
-
ChatGPT de OpenAI genera 53 veces más ingresos que...
-
🚴♀️Cecilia Sopeña exige borrar su pasado digital...
-
El navegador web de OpenAI usará a ChatGPT para pe...
-
Actualización de Windows 11 puede provocar el bloq...
-
El CD cumple 43 años, un formato que marcó una época
-
Mini SSD, almacenamiento extraíble a máxima veloci...
-
ChatGPT podría llenarse de anuncios
-
Gemini ahora recuerda todas tus conversaciones sin...
-
MadeYouReset: nueva vulnerabilidad en HTTP/2 permi...
-
Estados Unidos valora comprar acciones de Intel
-
El procesador de AMD Threadripper Pro 9995WX puede...
-
YouTube comenzará a usar inteligencia artificial p...
-
Intel aprende al fin de AMD: su próximo socket dur...
-
Multas de entre 750 y 5.000 € para usuarios de IPT...
-
El vecino que nadie quiere tener: Mark Zuckerberg ...
-
Btrfs le ha ahorrado a Meta miles de millones de d...
-
WinRAR corrige un 0-day explotado: actualiza a 7.1...
-
El pájaro que se convirtió en un disco duro vivien...
-
Un robotaxi chino cae en un foso con una pasajera ...
-
Cinco inteligencias artificiales gratuitas para cr...
-
Grok 4 gratis, la IA de Elon Musk ahora hace deepf...
-
La beta abierta de Battlefield 6 es un éxito en Steam
-
Adiós a poner lavadoras: este robot humanoide ya e...
-
Windows 2030 se utilizará sin teclado y sin ratón,...
-
LG obligada a pagar más de 170 mil euros por el fu...
-
Donald Trump pide la dimisión inmediata del CEO de...
-
La regla del 90-9-1: por qué la mayoría no partici...
-
Preguntas trampa para «ir a pillar» a los LLM: has...
-
GPT-5 es tan inteligente que podría ayudarte a cre...
-
OpenAI gana a Grok al ajedrez
-
Adiós a las gafas: EE.UU. aprueba unas gotas que c...
-
ChatGPT ya responde mejor que un doctor, gracias a...
-
Chema Alonso deja su puesto en el Comité Técnico d...
-
GPT-5 es una bestia en programación: puede desarro...
-
Microsoft crea una IA que detecta malware sin ayud...
-
Tesla, declarada culpable por un atropello mortal
-
Battlefield 6 rinde un 42% mejor en un Ryzen 7 980...
-
Spotify sube de precio y el plan individual pasa a...
-
Genie 3: la nueva frontera de Google DeepMind para...
-
OpenAI presenta su nuevo modelo gratuito gpt-oss q...
-
Vulnerabilidad seguridad crítica en un popular tem...
-
Qué fue de Loquendo, esa voz enlatada que los yout...
-
Una “multa” en el parabrisas, un QR y una web fals...
-
Glosario Cripto: guía completa para entender el mu...
-
Reddit recula con los subreddits de pago (por ahora)
-
Big Sleep, la IA de Google basada en Gemini, descu...
-
¿IA o no? Este test de Microsoft te reta a disting...
-
Thorium: plataforma para analistas forenses y de m...
-
AMD quiere lanzar tarjetas con NPU dedicada pareci...
-
Los motores de búsqueda como Bing están indexando ...
-
Falsos PDF ejecutables: ataques a infraestructuras...
-
Intel Nova Lake-S: especificaciones, cambios a niv...
-
ATX 3.0 vs ATX 3.1: cambios, ventajas y desventajas
-
Ataque a una red de cajeros automáticos a través d...
-
Kimi K2, el nuevo modelo de IA de China que marca ...
-
Actualización de seguridad en Chrome y Safari para...
-
Ponen a la venta millones de DNI de ciudadanos esp...
-
Vulnerabilidad crítica de un Theme de WordPress pe...
-
OpenAI anuncia Stargate Norway, una "gigafactoría ...
-
Empresa con 700 trabajadores y 158 años de histori...
-
Estafadores ofrecen 100 euros al día por tareas se...
-
Linuxfx 2025: el clon de Windows 11 que conquista ...
-
IBM despidió a casi 8.000 empleados para sustituir...
-
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
En una campaña que se intensifica y que apunta a la infraestructura de acceso remoto, actores de amenazas han iniciado intentos de explotaci... -
Un usuario de criptomonedas pierde 9.000 dólares en segundos después de hacer clic en un anuncio de Instagram que prometía ganancias fáciles...
Vulnerabilidad seguridad crítica en un popular tema de WordPress
Una vulnerabilidad identificada como CVE-2025-5394, en el tema «Alone – Charity Multipurpose Non-profit WordPress Theme» está siendo activamente explotada por ciberdelincuentes. La vulnerabilidad, con una puntuación CVSS de 9.8 sobre 10, permite a atacantes no autenticados instalar plugins de forma remota y ejecutar código malicioso, comprometiendo por completo los sitios que utilizan dicho tema.
Una grave brecha de seguridad ha puesto en jaque a numerosos sitios web que operan con WordPress. Investigadores de ciberseguridad han alertado sobre la explotación activa de una vulnerabilidad crítica que afecta a todas las versiones del popular tema «Alone – Charity Multipurpose Non-profit WordPress Theme» hasta la versión 7.8.3 inclusive. Permitiendo a actores maliciosos, sin necesidad de autenticación, tomar el control absoluto de las instalaciones vulnerables.
¿En qué consiste la vulnerabilidad?
La vulnerabilidad, catalogada con el identificador CVE-2025-5394, reside específicamente en una función del tema denominada «alone_import_pack_install_plugin()«. El problema fundamental radica en la ausencia de una verificación de permisos (capability check) adecuada en dicha función.
La instalación de nuevos plugins es una acción restringida a los administradores del sitio. Sin embargo, este fallo de seguridad permite que cualquier usuario, incluso uno sin privilegios ni autenticación, pueda invocar la función a través de una llamada AJAX. Al hacerlo, pueden instruir al sitio web para que descargue e instale un plugin desde una URL externa controlada por el atacante. Este mecanismo se convierte en un vector directo para la ejecución remota de código (RCE), ya que el plugin instalado puede contener cualquier tipo de código malicioso.
Los expertos señalan que esta modalidad de ataque es especialmente peligrosa por su sigilo y eficacia, ya que la instalación del plugin malicioso puede pasar desapercibida para un administrador que no realice una auditoría constante de sus componentes.
Versiones afectadas y parches
El fallo de seguridad impacta a todas las versiones del tema «Alone – Charity Multipurpose Non-profit WordPress Theme» anteriores a la 7.8.3, incluyendo esta última. Los desarrolladores del tema ya han respondido a la alerta de seguridad publicando una versión corregida.
| Vulnerabilidad | CVSS Score | Producto Afectado | Versiones Vulnerables | Solución |
| CVE-2025-5394 | 9.8 | Alone – Charity Multipurpose Non-profit WordPress Theme | Anteriores e incluyendo 7.8.3 | Actualizar a la última versión |
Impacto potencial
El impacto de la explotación de la vulnerabilidad CVE-2025-5394 es máximo. Un atacante exitoso puede lograr una toma de control total del sitio web (full site takeover). Esto implica que el ciberdelincuente podría:
- Robar información sensible: Acceder y exfiltrar datos de la base de datos, como información de usuarios, clientes, pedidos o contenido privado.
- Inyectar malware y redirecciones: Modificar el contenido del sitio para distribuir malware a los visitantes o redirigir el tráfico a sitios de phishing o fraudulentos.
- Crear cuentas de administrador ocultas: Asegurar su persistencia en el sistema comprometido.
- Utilizar el servidor para otros fines maliciosos: Emplear los recursos del servidor para lanzar ataques a otros sistemas, enviar spam o minar criptomonedas.
- Desfigurar o eliminar por completo el sitio web: Causando un daño reputacional y operativo significativo.
Recomendaciones
Ante la criticidad de esta vulnerabilidad es recomendable seguir los siguientes pasos:
- Actualización Inmediata: Si utiliza el tema «Alone – Charity Multipurpose Non-profit WordPress Theme», verifique la versión instalada y actualice de forma inmediata a la última versión parcheada. Esta es la medida más importante y efectiva.
- Verificar Plugins Instalados: Realice una auditoría exhaustiva de todos los plugins instalados en su WordPress. Elimine cualquier plugin que no reconozca o que le resulte sospechoso.
- Monitorización de Usuarios: Revise la lista de usuarios registrados en su sitio, prestando especial atención a aquellos con roles de administrador. Elimine cualquier cuenta que no sea legítima.
- Copias de Seguridad: Asegúrese de tener un sistema de copias de seguridad robusto y reciente. En caso de compromiso, una copia de seguridad limpia es fundamental para la restauración del servicio.
- Fortalecimiento General: Considere implementar medidas de seguridad adicionales, como un Web Application Firewall (WAF), que puede ayudar a bloquear intentos de explotación de vulnerabilidades conocidas y desconocidas. Mantenga siempre el núcleo de WordPress, así como todos los temas y plugins, actualizados a sus últimas versiones estables.
- Thehackernews – Hackers exploit critical wordpress
- NVD – CVE-2025-5394
- Incibe – CVE-2025-5394
- Security Affairs – Attackers actively exploit critical zero-day in Alone WordPress Theme
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.