Vulnerabilidad en W3 Total Cache pone en peligro datos privados de WordPress


El popular plugin de WordPress W3 Total Cache presenta una vulnerabilidad grave en su configuración predeterminada, según las últimas investigaciones.





Dicho valor predeterminado de configuración, por el cual el usuario sólo tiene que elegir la opción “añadir plug-in” en el catálogo de WordPress, deja habilitado el directorio de caché.

Así lo ha explicado Jason A. Donenfield en Full Disclosure, añadiendo que esta situación permite que la caché de claves sea descargada en instalaciones vulnerables.

Y, por lo tanto, podría exponer los hash de las contraseñas utilizadas.

“Una simple búsqueda en Google de ‘inurl:wp-content/plugins/w3tc/dbcache’ y otro poco de magia quizás revele que esto no es un problema mío exclusivo”, escribe Donenfield.

“Incluso con los listados de directorios desactivados, los archivos de caché son descargables públicamente por defecto”, añade, “y tanto los valores de clave como los nombre de archivo de la base de datos de objetos de caché son fácilmente predecibles“.

El desarrollador del plug-in ya ha explicado que tiene la intención de lanzar una solución “pronto”, pero mientras tanto lo mejor es denegar el acceso en el archivo .httaccess.

Fuente:
por Mónica Tilves
http://www.siliconweek.es/



Otras noticias de interés:

Riesgos del teletrabajo, los datos transportados
Una encuesta realizada hace poco revela que cada vez más, los empleados llevan el trabajo consigo a todas partes, sin tomar en cuenta los riesgos que esto puede traerles. ...
Un paro momentaneo en Internet
El día lunes 23 pasado Internet fue objeto de un ataque bastante sosfiticado y con una duración de importancia relevante. ...
El rumor del intruso en los servidores de Microsoft
Cómo blanco predilecto de cientos de ataques de quienes buscan nuevas vulnerabilidades tanto en los productos como en los sitios de Microsoft, la noticia del ingreso de intrusos a sus sistemas, siempre es una noticia apetitosa, y muy codiciada por c...
Operación Triunfo ya tiene virus oficial
La compañía de seguridad Panda Software acaba de informar sobre la aparición de un nuevo gusano de correo electrónico, llamado Musicalnightmare, que hace alusión al conocido programa-concurso de televisión Operación Triunfo. ...
Microsoft anuncia el lanzamiento de la primera beta de Explorer 8
La compañía de Redmon lanzará su nuevo navegador de Internet durante la primera mitad de 2008...
Nuevos envíos masivos de troyanos a través de e-mail
Recientemente, se están produciendo envíos masivos de e-mails contenedores de troyanos, que tienen como principal objetivo hacerse con los datos bancarios de los usuarios. En esta ocasión, los ciberdelincuentes han adoptado la imagen de dos compa...
Nueva estrategia para lograr Computadoras Cuánticas
Una inusual observación en un laboratorio de física de la Universidad de Florida Central podría conducir con más rapidez a una nueva generación de computadoras cuánticas, capaces de revolucionar la tecnología de encriptación y dejar obsoletos...
México: Escritores rechazan ACTA
ACTA se define como un acuerdo multilateral voluntario que propine fijar protección y respaldo a la propiedad intelectual, por el propósito que evitar falsificaciones....
Creador de JavaScript cree que podría desplazar a Flash en el futuro
Brendan Eich, creador del lenguaje JavaScript, líder de Mozilla Foundation y CTO de Mozilla Corporation declaró que las implementaciones de JavaScript son cada vez más rápidas, y que esto ha ayudado a que los desarrolladores lo usen en nuevos tip...
Fallo de restricción de acceso a 'shell:' en MSN Messenger y Word
Se ha descubierto un problema en MSN Messenger y Microsoft Word que permitiría acceder a la funcionalidad shell: de Windows....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cache
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • peligro
  • pgp
  • php
  • pone
  • privados
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • total
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • wordpress
  • xanadu
  • xfce
  • xombra