WordPress Directo
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting
No Result
View All Result
WordPress Directo
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting
No Result
View All Result
WordPress Directo
No Result
View All Result

Graves vulnerabilidades afectan a populares complementos de WordPress para sitios inmobiliarios

MyR by MyR
23 enero 2025
in Plugins
Reading Time: 3 mins read
0

Dos vulnerabilidades críticas han sido descubiertas en el tema RealHome y el complemento Easy Real Estate para WordPress, permitiendo a usuarios no autenticados obtener privilegios administrativos en los sitios web afectados.

Detalles de las vulnerabilidades

Estas herramientas, ampliamente utilizadas en sitios web inmobiliarios, presentan fallos críticos que las hacen susceptibles a ataques. Según datos de Envato Market, el tema RealHome se utiliza en más de 32.600 sitios web.

CVE-2024-32444: Vulnerabilidad en RealHome

La primera vulnerabilidad, catalogada como CVE-2024-32444, afecta al tema RealHome y tiene un puntaje CVSS de 9.8, indicando una severidad crítica. Este fallo se encuentra en la función inspiry_ajax_register, que permite a los usuarios registrar nuevas cuentas, pero carece de una validación adecuada de autorización y no implementa medidas de seguridad como la verificación de nonce.

Artículos relacionados

Contact Form 7, el plugin vitaminado para crear formularios

17 septiembre 2015

Site Kit by Google: La herramienta definitiva para integrar Google en WordPress

6 marzo 2025

Cómo añadir un AMA como el de Reddit en WordPress

18 septiembre 2017

Cómo añadir el aviso sobre la política de cookies en Wordpress

14 septiembre 2015

Si el registro está habilitado en un sitio web, un atacante puede enviar solicitudes HTTP manipuladas para registrarse como administrador, obteniendo acceso completo al sitio. Esto incluye la capacidad de modificar contenido, insertar scripts maliciosos y acceder a datos sensibles de los usuarios.

CVE-2024-32555: Vulnerabilidad en Easy Real Estate

La segunda vulnerabilidad, identificada como CVE-2024-32555, también con un puntaje CVSS de 9.8, afecta al complemento Easy Real Estate a través de su función de inicio de sesión social. Este fallo permite a los atacantes iniciar sesión con una dirección de correo electrónico administrativa sin necesidad de contraseña, si conocen la dirección de correo del administrador.

Las consecuencias de esta vulnerabilidad son similares a las del CVE-2024-32444, permitiendo a los atacantes tomar el control total del sitio afectado.

Falta de respuesta del desarrollador

Aunque las vulnerabilidades fueron descubiertas por Patchstack en septiembre de 2024 y se intentó contactar al desarrollador, InspiryThemes, este no ha respondido ni implementado parches de seguridad. Desde el descubrimiento, el desarrollador ha lanzado tres actualizaciones del tema y complemento, pero ninguna aborda los problemas de seguridad.

Recomendaciones de mitigación

Dado que no hay parches disponibles, se recomienda a los administradores de sitios web que utilicen el tema RealHome o el complemento Easy Real Estate tomar medidas inmediatas para proteger sus sistemas:

  1. Deshabilitar el tema y el complemento afectados: Esto es crucial para evitar posibles ataques.
  2. Restringir el registro de nuevos usuarios: Limitar esta funcionalidad reduce el riesgo de explotación.
  3. Monitorear el sitio web para detectar posibles compromisos: Dado que estas vulnerabilidades son ahora públicas, es probable que los atacantes comiencen a buscar sitios web vulnerables.

La acción rápida es esencial, ya que estas vulnerabilidades críticas pueden permitir a los atacantes explotar sitios afectados y comprometer tanto su contenido como los datos de los usuarios.

Tags: seguridadvulnerabilidad
ShareTweetSendSharePin
MyR

MyR

Te puede interesar...

Plugins

Optimiza la gestión de usuarios en WordPress con Index WP Users For Speed

4 junio 2025

En sitios web con miles de usuarios registrados, el panel de administración de WordPress...

Plugins

Twentig potencia los temas por bloques de WordPress con plantillas, portafolios y más de 100 patrones de diseño

3 junio 2025

WordPress continúa su evolución hacia una experiencia más visual y sin código, y el...

Código fuente

“Syntax-highlighting Code Block”: un aliado para desarrolladores en WordPress que apuesta por el rendimiento y la simplicidad

3 junio 2025

El plugin mejora el bloque de código estándar con resaltado sintáctico desde el servidor,...

Plugins

Cómo proteger tu WordPress contra Clickjacking con el plugin HTTP Headers

2 junio 2025

El plugin HTTP Headers permite a los administradores de sistemas configurar con precisión las...

No Result
View All Result
Plugin Imagify, optimizar imágenes
wordpress hosting NVME
Elegant Themes WordPress
elementor editor plugin




Últimos artículos

¿Está en peligro el futuro de WordPress? Realidades y mitos tras el follón entre Automattic y WP Engine

29 enero 2025

Cómo mejorar el modo de escritura sin distracciones de WordPress

25 noviembre 2015

WordPress cumple 22 años entre luces y sombras: ¿celebración o señal de alarma?

30 mayo 2025

CleanTalk: la defensa invisible contra el spam que está revolucionando WordPress y otros CMS

6 mayo 2025

Redirigir tu feed RSS a Feedburner

4 agosto 2015
WordPress Directo

WPDirecto.com es una revista especializada en WordPress y WooCommerce que ofrece una amplia gama de recursos, incluyendo tutoriales, análisis de plugins y plantillas, consejos de optimización y estrategias de SEO, para ayudar a los usuarios a mejorar y personalizar sus sitios web, manteniéndolos informados sobre las últimas novedades y tendencias en el mundo de WordPress.

Menu

  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting

Información

WPDirecto es un medio de Medios y Redes:
  • Artículos patrocinados
  • Servicio de diseño web
  • Contacto
  • Acerca de MyR
  • Política de privacidad y cookies
  • Aviso Legal

© 1995-2025 Color Vivo Internet, SLU (Medios y Redes Online).. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

No Result
View All Result
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting

© 1995-2025 Color Vivo Internet, SLU (Medios y Redes Online).. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.