Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1030
)
-
▼
enero
(Total:
680
)
-
Cuidado con la extensión de VS Code ClawdBot Agent...
-
Barco ruso merodeando cerca de cables de datos tra...
-
BlackIce: kit de herramientas Red Team basado en c...
-
Nuevo capítulo de escasez por culpa de la IA: prim...
-
El CEO de Nvidia niega que EE.UU. quiera trasladar...
-
Microsoft elimina el soporte para módems de acceso...
-
Directorio abierto expuesto filtra marco BYOB en W...
-
Meta corrige un grave fallo de seguridad en Whats...
-
NASA estrena Athena, el superordenador capaz de ha...
-
Adiós suscripciones: editor de video gratuito KDEn...
-
Los discos duros suben de precio primero en Corea ...
-
IBM 3380, el primer disco duro de 1 GB: tan grande...
-
3,280,081 dispositivos Fortinet en línea con propi...
-
Wireshark 4.6.3 lanzado con corrección de vulnerab...
-
Qué es Azure Linux, la apuesta de Microsoft por la...
-
GIGABYTE X870E AORUS XTREME X3D AI TOP, caracterís...
-
GIGABYTE afina su BIOS para exprimir el nuevo Ryze...
-
Google pagará 135 millones de dólares a usuarios d...
-
El nuevo Intel Panther Lake supera a AMD Zen 5 en ...
-
Las GPU Intel Arc Alchemist ganan hasta un 260% de...
-
AMD Ryzen 7 9850X3D en Single Channel vs Dual Chan...
-
Ataque DDoS de 31,4 Tbps mediante la botnet Aisuru...
-
Mejores servicios de eliminación de datos personales
-
Microsoft 365: complementos de Outlook se usan par...
-
Las ventas de Xbox Series S y Series X se hunden, ...
-
Explotan vulnerabilidad de FreePBX para desplegar ...
-
Herramienta Swarmer elude EDR con modificación sig...
-
ONLYOFFICE DocSpace: la mejor alternativa a Google...
-
¿Es inseguro utilizar Microsoft Teams y Zoom? En F...
-
Vulnerabilidad crítica en cámaras IP IDIS permite ...
-
Microsoft Exchange Online eliminará la autenticaci...
-
Vulnerabilidad crítica en SolarWinds permite ejecu...
-
Microsoft en el punto de mira: sus centros de IA p...
-
Estafadores están enviando spam desde un correo re...
-
Televés lanza el Booster 3, un dispositivo profesi...
-
El chip Apple M6 debutará a finales de año
-
Vulnerabilidad crítica en vm2 (Node.js) permite es...
-
LaLiga ofrece 50 euros a quien denuncie a los bare...
-
Fallo crítico WinRAR
-
El precio de la memoria RAM DDR4 está aumentando d...
-
Costco quita de sus ordenadores preensamblados la ...
-
El jefe de la CISA subió documentos sensibles a Ch...
-
Copia de seguridad de mi móvil, ¿mejor hacerla en ...
-
ASUS CROSSHAIR X870E DARK HERO y CROSSHAIR X870E G...
-
Fuga de datos en SoundCloud expone detalles de 29,...
-
Incidente en GitHub de ClawdBot acaba en estafa Cr...
-
Samsung confirma que el Galaxy S26 Ultra incluirá ...
-
Asistente de IA viral "Clawdbot" puede filtrar men...
-
Nike investiga filtración de datos tras reclamo de...
-
FRITZ!Box 5690 XGS llega a España, un router perfe...
-
La Comisión Europea revisará la petición «Dejad de...
-
Google filtra su sistema operativo para PC: Alumi...
-
Actualización de seguridad de Chrome corrige vulne...
-
Sabotajes en cables submarinos llevan a Finlandia ...
-
Google anuncia función de protección contra robos ...
-
Google desmantela la mayor red de proxies residenc...
-
Ataques de eSkimming impulsados por amenazas persi...
-
Pedido masivo de NVIDIA H200 de China: más de 2 mi...
-
Estos son los precios de los portátiles con Intel ...
-
Un equipo de ciberseguridad asistido por IA descub...
-
Micron anuncia inversión de 24.000 millones de dól...
-
Intel y AMD subirán los precios de sus CPU para IA...
-
Samsung ultima un Galaxy Wide Fold para triunfar f...
-
NVIDIA dividirá la fabricación de sus sistemas de ...
-
SEGA Meganet: así fue la gran pionera del juego on...
-
Uber presenta robotaxi sin conductor gracias a la ...
-
Realme bate todos los récords con la batería Titan...
-
Prosegur anuncia un sistema de defensa antidrones ...
-
La visión agéntica que Google ha estrenado en Gemi...
-
La OCU de España denuncia una nueva estafa telefón...
-
El director de videojuegos de Google Cloud dice qu...
-
El aumento de los precios de componentes como CPU,...
-
El Reloj del Juicio Final marca 85 segundos en 202...
-
PS5 se actualiza con funciones sociales: ya puedes...
-
Microsoft mejora la sincronización entre Windows 1...
-
HDMI 2.2: el doble de velocidad, 4K a 480 Hz y com...
-
¿Habrá que pagar por usar WhatsApp? Versiones de s...
-
LaLiga lleva sus bloqueos a las IPTV fuera de Espa...
-
Ciudadano chino condenado a 46 meses por lavar mil...
-
Ataque con CAPTCHA falso usa App-V de Microsoft pa...
-
Canva, Atlassian y Epic Games entre más de 100 emp...
-
Los nuevos satélites de Amazon Leo son demasiado b...
-
Alemania es el país europeo con la mitad de los ho...
-
Un activista británico demanda a Valve por 903 mil...
-
Vulnerabilidades en OpenSSL permiten a atacantes r...
-
Google advierte sobre vulnerabilidad en WinRAR exp...
-
El 64% de las aplicaciones de terceros acceden a d...
-
Intel XeSS 3 con Multi-Frame Generation ya está di...
-
Instagram, Facebook y WhatsApp probarán nuevas sus...
-
Valve se enfrenta a una demanda multimillonaria po...
-
Atacantes secuestran repositorio oficial de GitHub...
-
Más de 6.000 servidores SmarterMail vulnerables ex...
-
AMD Gorgon Point no presentará batalla frente a Pa...
-
Tarjetas gráficas NVIDIA y AMD: Guía de equivalencias
-
Vulnerabilidad 0-day en Gemini MCP permite a ataca...
-
Vulnerabilidad en TP-Link Archer permite a atacant...
-
Dario Amodei, CEO Anthropic, sobre el incierto fut...
-
ASML despedirá empleados pese al auge de chips de ...
-
El CEO de Cisco advierte: “la IA será más grande q...
-
Samsung crea un nuevo cartel inteligente de tinta ...
-
-
▼
enero
(Total:
680
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Symbian , el sistema operativo de Nokia, volverá a estar disponible en 2026 tras años de dominio en móviles, reviviendo uno de sus modelos ... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
nmapUnleashed se presenta como un potente envoltorio CLI que mejora las capacidades de Nmap para penetration testers y auditores de redes ....
20.000 sitios de WordPress afectados por vulnerabilidad en el plugin LA-Studio Element
Se ha descubierto una vulnerabilidad crítica de puerta trasera en el plugin LA-Studio Element Kit para Elementor, un complemento popular de WordPress utilizado por más de 20.000 sitios activos. Esta falla de seguridad permite a los atacantes crear cuentas de administrador sin necesidad de autenticación, poniendo en riesgo de toma completa a miles de sitios web.
Se ha descubierto una vulnerabilidad crítica de puerta trasera en el LA-Studio Element Kit para Elementor, un popular plugin de WordPress utilizado por más de 20.000 sitios activos.
Este fallo de seguridad permite a los atacantes crear cuentas de administrador sin autenticación, poniendo en riesgo de toma completa a miles de sitios web.
La vulnerabilidad, registrada como CVE-2026-0920, tiene una puntuación CVSS de 9.8, lo que la clasifica como una amenaza crítica que requiere acción inmediata por parte de los administradores de los sitios.
La puerta trasera fue introducida por un exempleado que dejó la empresa a finales de diciembre de 2025. Según LA-Studio, el desarrollador modificó el código del plugin poco antes de finalizar su empleo, insertando una funcionalidad oculta que permite la creación de cuentas de administrador no autorizadas.
Este incidente destaca la creciente preocupación por las amenazas internas y la importancia de los procesos de revisión de código durante las transiciones de empleados.
Los investigadores de seguridad Athiwat Tiprasaharn, Itthidej Aramsri y Waris Damkham descubrieron la vulnerabilidad el 12 de enero de 2026 y la reportaron a través del Programa de Recompensas por Errores de Wordfence.
Los analistas de Wordfence identificaron el fallo en el sistema de registro de usuarios del plugin, específicamente en la función ajax_register_handle. La vulnerabilidad fue parcheada rápidamente, con la versión 1.6.0 lanzada el 14 de enero de 2026, solo dos días después del informe inicial.
La vulnerabilidad existe en todas las versiones hasta la 1.5.6.3 (incluida) del plugin LA-Studio Element Kit para Elementor. Los atacantes pueden explotar este fallo enviando una solicitud de registro especialmente diseñada que contenga el parámetro lakit_bkrole.
Una vez exitosa, obtienen acceso administrativo completo al sitio WordPress objetivo, lo que les permite subir archivos maliciosos, modificar contenido, redirigir visitantes a sitios web dañinos o inyectar contenido spam.
Detalles de la vulnerabilidad:
| Atributo | Detalles |
|---|---|
| Nombre de la vulnerabilidad | Escalada de privilegios no autenticada mediante puerta trasera para creación de usuario administrador |
| ID CVE | CVE-2026-0920 |
| Puntuación CVSS | 9.8 (Crítica) |
| Plugin afectado | LA-Studio Element Kit para Elementor |
| Slug del plugin | lastudio-element-kit |
| Versiones afectadas | ≤ 1.5.6.3 |
| Versión parcheada | 1.6.0 |
| Instalaciones activas | 20.000+ |
| Vector de ataque | Parámetro lakit_bkrole en la solicitud de registro |
| Tipo de vulnerabilidad | Puerta trasera / Creación de usuario administrador |
| Descubridores | Athiwat Tiprasaharn, Itthidej Aramsri, Waris Damkham |
| Monto de recompensa | $975.00 |
| Fecha de descubrimiento | 12 de enero de 2026 |
| Fecha de lanzamiento del parche | 14 de enero de 2026 |
| Protección de Wordfence | 13 de enero de 2026 (Premium), 12 de febrero de 2026 (Gratis) |
Los investigadores de Wordfence señalaron que el código de la puerta trasera estaba deliberadamente ofuscado para evitar su detección durante las revisiones de seguridad. Esta técnica de evasión hizo que la funcionalidad maliciosa fuera más difícil de detectar, permitiendo que permaneciera oculta dentro del código base del plugin.
El código ofuscado apuntaba específicamente al proceso de registro de usuarios, añadiendo capacidades de administrador a las cuentas recién creadas cuando el parámetro oculto estaba presente.
El mecanismo de la puerta trasera ofuscada
La puerta trasera opera a través de una modificación cuidadosamente oculta dentro del sistema de manejo de registros del plugin.
Al examinar el código, los analistas de Wordfence encontraron que la función ajax_register_handle contenía lógica ofuscada que verificaba la presencia del parámetro lakit_bkrole durante el registro de usuarios.
Si se detectaba este parámetro, la función activaba filtros adicionales que asignaban privilegios de administrador a la cuenta recién creada.
La ofuscación incluía técnicas como manipulación de cadenas y llamadas a funciones indirectas, lo que hacía que el código malicioso se mezclara perfectamente con la funcionalidad legítima del plugin.
Este ingenioso disfraz permitió que la puerta trasera eludiera auditorías de seguridad estándar y permaneciera sin detectar hasta que los investigadores investigaron específicamente patrones sospechosos en el flujo de trabajo de registro.
Fuentes:
https://cybersecuritynews.com/20000-wordpress-sites-affected-by-backdoor-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.