Fallo de seguridad en WordPress: CVE-2018-6389

Nos acaban de informar desde la empresa de nuestro antimalware «Pyxsoft», de un fallo de seguridad que afecta a wordpress: CVE-2018-6389

Esta vulnerabilidad fue descubierta el 4 de febrero y todavía no ha sido resuelta en la última actualización de WordPress.

Con este fallo, el atacante puede conseguir hacer caer el servidor web apache completamente.

Creemos que esta es una vulnerabilidad muy peligrosa, ya que puede acabar con todo el servidor web, denegando el servicio para todos los sitios web alojados en el servidor.

La vulnerabilidad también se publica en:

https://www.exploit-db.com/exploits/43968/

Esto significa que los ataques aumentarán en los próximos días.

La última actualización de WordPress no proporciona una solución para esta vulnerabilidad.


Sobre esta vulnerabilidad:

Según el sitio web oficial de WordPress, el 29% de los sitios web existentes utilizan esta plataforma, por lo tanto, se verán afectados por esta vulnerabilidad.

El problema radica en el archivo load-scripts.php, que tiene como objetivo recuperar varios paquetes de Javascript a través de una única solicitud, como bootstrap, jquery y jqueryUI, entre otros.

Es posible crear una solicitud especial para recuperar una gran cantidad de Javascripts diferentes, lo que resulta en un alto recurso de CPU y un alto uso de ancho de banda.

Con una herramienta simple, es posible enviar cientos de solicitudes por segundo, lo que puede aumentar fácilmente el uso de RAM y CPU al límite, lo que da como resultado un error del servidor web que impediría a los usuarios acceder al sitio web atacado o cualquier otro sitio web alojado en el mismo servidor.

Información completa: http://www.pyxsoft.com/portal/wordpress-load-scripts-dos-vulnerability/



Nota:
 Pyxsoft es el primer sistema que tiene protección frente a estos ataques, con lo que ninguno de nuestros clientes de hosting compartido ssd tendrán este problema, ya que todos nuestros servidores tienen dicha protección con este antimalware.
Todo cliente que utilice servidores VPS y servidores dedicados, deberían de tener precaución hasta que wordpress publique una actualización que corrija este fallo de seguridad y sobretodo (» Actualizar wordpress a su última versión nada más sea lanzada «).