Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Grave vulnerabilidad en plugin miniOrange de WordPress permite control total del sitio


Se ha descubierto una vulnerabilidad de seguridad crítica en el plugin WordPress OAuth Single Sign-On (SSO (OAuth Client) desarrollado por miniOrange. Este fallo, identificado como CVE-2026-57807 y con una puntuación de gravedad de 9.8, permite que atacantes remotos no autenticados tomen el control total de millones de sitios web de WordPress. La vulnerabilidad fue revelada por Patchstack el 9 de julio de 2026.





Se ha descubierto una vulnerabilidad de seguridad crítica en el ampliamente utilizado plugin de Single Sign–On (SSO (OAuth Client) de WordPress OAuth desarrollado por miniOrange, exponiendo millones de sitios web de WordPress a una toma de control completa por parte de atacantes remotos no autenticados.

El fallo, rastreado como CVE-2026-57807, tiene una puntuación CVSS casi máxima de 9.8 y fue revelada por Patchstack el 9 de julio de 2026.

La vulnerabilidad está clasificada como un fallo de Autenticación Rota bajo la categoría A7 del OWASP Top 10: Fallos de Identificación y Autenticación.

Técnicamente, la vulnerabilidad tiene su origen en el CWE-288 (Omisión de Autenticación Utilizando una Ruta o Canal Alternativo) y explota el mecanismo de recuperación de contraseñas del plugin.

Específicamente, explota una vía de autenticación alternativa que no aplica los controles de autenticación. Esto se corresponde con CAPEC-50: Explotación de Recuperación de Contraseñas.

Todas las versiones del plugin hasta la 38.5.8 inclusive están afectadas. El ataque no requiere autenticación, ni acceso previo a una cuenta, ni interacción del usuario, lo que lo hace trivialmente explotable desde cualquier lugar de internet con una baja complejidad de ataque.

Vulnerabilidad del Plugin de WordPress

Un atacante remoto no autenticado puede abusar del flujo defectuoso de recuperación de contraseñas del plugin para omitir completamente los controles de inicio de sesión.

Una vez que el atacante haya explotado el sitio, puede autenticarse como cualquier usuario de WordPress en el sitio, incluidos los administradores, lo que resulta en un compromiso total de la confidencialidad, integridad y disponibilidad.

Una explotación exitosa puede conducir a la toma de control completa del sitio, inyección de contenido malicioso, exfiltración de datos, instalación de puertas traseras y un mayor movimiento lateral dentro del entorno de alojamiento.

Patchstack ha clasificado esto como una vulnerabilidad de alta prioridad que se espera sea utilizada en campañas de explotación masiva dirigidas a miles de sitios web simultáneamente, independientemente del tamaño del sitio o los niveles de tráfico.

No hay un parche oficial disponible por parte de miniOrange, pero Patchstack ha lanzado un parche virtual para bloquear los intentos de explotación hasta que se emita una solución.

Se recomienda encarecidamente a los administradores de sitios que utilicen cualquier versión hasta la 38.5.8 que desactiven y eliminen inmediatamente el plugin de todas las instalaciones de WordPress expuestas a internet hasta que se publique una actualización de seguridad oficial.

Cuando la eliminación inmediata no sea factible, debes restringir el acceso a los endpoints de inicio de sesión y recuperación de contraseñas de WordPress utilizando reglas de Firewall de Aplicaciones Web (WAF) o listas blancas basadas en IP para reducir la superficie de ataque.

El investigador de seguridad Kim Dvash informó originalmente de la vulnerabilidad el 6 de junio de 2026. El NVD publicó formalmente el registro CVE el 10 de julio de 2026.

Te animamos a monitorear de cerca el repositorio oficial de plugins de WordPress y los avisos de seguridad de miniOrange para obtener una versión parcheada, y a aplicar las actualizaciones tan pronto como estén disponibles.



Fuentes:
https://cybersecuritynews.com/wordpress-plugin-vulnerability-miniorange/

0 comments :

Post a Comment

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.