Es noticia
BitcoinSP500JP MorganXRPMario Kart 9AppleAMD

Jupiter X Core presenta grave vulnerabilidad que puede comprometer más de 47,000 sitios de WordPress

TecnologíaCripto

Jupiter X Core presenta grave vulnerabilidad que puede comprometer más de 47,000 sitios de WordPress

Una crítica vulnerabilidad en Jupiter X Core amenaza la seguridad de más de 47,000 sitios de WordPress, permitiendo a atacantes ejecutar archivos maliciosos.

Redacción Kippel01
Publicado: 20-02-2025 18:18
Descripción

Jupiter X Core, un popular plugin de WordPress utilizado por más de 90,000 usuarios en todo el mundo, ha sido encontrado vulnerable a una falla de alta severidad que permite a atacantes ejecutar archivos arbitrarios en el servidor. Esto les otorga la capacidad de tomar el control total de los sitios web afectados. La vulnerabilidad, conocida como CVE-2025-0366, cuenta con una puntuación de severidad de 8.8 sobre 10 y afecta a todas las versiones hasta la 4.8.7.

Jupiter X Core es un plugin complementario para el tema Jupiter X de WordPress, desarrollado por Artbees. Este plugin amplía la funcionalidad del tema al añadir características avanzadas, como elementos personalizados para la construcción de páginas, opciones de personalización de temas y controles de diseño mejorados, siendo ampliamente utilizado por diseñadores web, desarrolladores y propietarios de negocios.

La vulnerabilidad permite a atacantes autenticados con acceso de nivel Contributor o superior incluir y ejecutar archivos arbitrarios en el servidor, lo que a su vez permite la ejecución de cualquier código PHP contenido en esos archivos. Esto puede ser aprovechado para eludir controles de acceso, obtener datos sensibles e incluso ejecutar código malicioso en el servidor.

Los investigadores de seguridad de WordPress, Wordfence, describieron un posible escenario de ataque, en el que un atacante podría crear un formulario para permitir la carga de archivos SVG, subir un archivo con contenido malicioso e incluir el archivo SVG en una publicación, facilitando así la ejecución remota de código. Este proceso hace que la ejecución de código malicioso sea relativamente sencilla.

La falla fue detectada a principios de enero de 2025, y Artbees lanzó un parche antes de finalizar el mes. A pesar de esto, al momento de reportar la noticia, se observa que aproximadamente el 46.8% de los usuarios aún no han actualizado a la versión más reciente, 4.8.8, lo que significa que más de 47,000 sitios web continúan siendo vulnerables.