Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código

La escasez de memoria inducida por la IA sacude el mercado indio de teléfonos inteligentes

Apple y Google ordenan eliminar la aplicación ‘nudify’ de la App Store

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código
Identidad

La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 17, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Swati Khandelwal17 de julio de 2026Vulnerabilidades / Seguridad Web

Las solicitudes HTTP anónimas pueden ejecutar código en su sitio de WordPress. Dado que este error está en el núcleo, se puede explotar incluso en instalaciones básicas sin complementos.

Todos los sitios 6.9 y 7.0 estuvieron dentro del alcance hasta el viernes, cuando WordPress lanzó 6.9.5 y 7.0.2 y permitió las llamadas actualizaciones forzadas a través del sistema de actualización automática.

Adam Kues de Assetnote, el brazo de gestión de superficies de ataque de Searchlight Cyber, descubrió esta falla y la informó a través del programa HackerOne de WordPress. El artículo, publicado bajo el nombre wp2shell, dice que el ataque «no tiene requisitos previos y puede ser explotado por usuarios anónimos».

La compañía no dice nada sobre los detalles técnicos por ahora, pero en su lugar instaló un verificador en wp2shell.com para permitir a los propietarios probar sus propias instancias.

WordPress lanzó 6.9.5 y 7.0.2 el 17 de julio de 2026, cerrando RCE de autenticación previa en el núcleo que podrían activarse mediante solicitudes anónimas de instalaciones predeterminadas sin complementos. Dos rangos se ven afectados:

Corregido en 6.9.0 – 6.9.4, 6.9.5 Corregido en 7.0.0 – 7.0.1, 7.0.2

WordPress no ha dicho si los sitios con actualizaciones automáticas desactivadas recibirán un impulso forzado. No asumas simplemente que has aterrizado, comprueba lo que realmente estás haciendo.

7.1 beta2 también incluye la misma solución. Los sitios que todavía usan 6.8 también están esperando una actualización, pero 6.8.6 es el segundo error de inyección SQL en la misma ronda, reportado por un equipo diferente.

Una publicación de Searchlight estima que más de 500 millones de sitios web ejecutan WordPress. Este número es la base instalada total, no la población vulnerable. El código defectuoso solo está presente desde la versión 6.9, que se envió el 2 de diciembre de 2025. Esto significa que todos los sitios afectados han estado ejecutando versiones durante menos de 8 meses y ninguno de los avisos indica cuántos sitios están afectados.

WordPress es más proactivo con respecto a las clases de errores que los investigadores. Su publicación de lanzamiento describe los hallazgos de Kues como «interrupción de la ruta por lotes de la API REST y problemas de inyección SQL que conducen a la ejecución remota de código». Esta versión cubre una falla crítica y una falla de alta gravedad, pero WordPress no ha dicho cuál es cuál.

La página de la versión enumera tres archivos corregidos en 7.0.2 (/wp-includes/rest-api/class-wp-rest-server.php, /wp-includes/class-wp-query.php, /wp-includes/rest-api.php) e incluye correcciones para ambos. Los puntos finales por lotes no son nuevos. WordPress envió esto con 5.6 en noviembre de 2020 y ha estado documentando y publicando el formato de solicitud desde entonces. Nada de lo publicado hasta ahora explica qué ha cambiado para abrir 6.9.

Ninguno de los avisos incluía una identificación CVE o una puntuación CVSS, y hasta el 18 de julio no había aparecido ningún registro CVE. Los inventarios y los escáneres de claves CVE no marcan esto y CISA requiere CVE antes de agregar algo al catálogo KEV. En su lugar, realice un seguimiento por número de versión.

Si no puedes actualizar hoy

Todas las mitigaciones que proporciona Searchlight tienen como objetivo, en última instancia, mantener a las personas que llaman anónimas alejadas del punto final por lotes. 3 opciones. Ambas son soluciones provisionales hasta que actualice y pueden interrumpir su integración habitual.

WAF bloquea tanto /wp-json/batch/v1 como rest_route=/batch/v1. La compañía deja en claro que debe hacer ambas cosas, ya que las reglas que solo apuntan a la ruta /wp-json dejan abierta la ruta de la cadena de consulta. Deshabilitar la API REST de WP detiene por completo el acceso REST no autenticado. Un complemento breve para emitir y rechazar solicitudes anónimas /batch/v1 con rest_pre_dispatch.

No se han reportado intentos de explotación hasta el 18 de julio. Nadie lo ha investigado todavía porque no hay CVE para etiquetarlo ni firmas públicas que coincidan.

La explotación masiva de WordPress es ahora una industria. Antes de la violación del servidor en junio, el personal de WP-SHELLSTORM había contado más de 17.000 sitios comprometidos con solo una falla en un complemento de almacenamiento en caché. Este error ya fue divulgado y parcheado, y solo funcionó con configuraciones no predeterminadas.

Cuando Drupal parcheó su núcleo propietario para inyección SQL anónima en mayo, Searchlight convirtió esa solución pública en un desmontaje el mismo día con dos pruebas de concepto funcionales. Es el error de otra persona, el parche de otra persona, y usted no tiene la obligación de hacer lo mismo con su empresa. Pero tomó un día. Las personas que pusieron en marcha ese reloj son las que ahora apuestan a que el silencio dará tiempo a los defensores.

El núcleo de WordPress es de código abierto, y tanto 7.0.1 como 7.0.2 existen en archivos de versiones públicas, por lo que cualquiera puede compararlos si lo desea. Este es el vínculo de todos los proyectos de código abierto. No se puede distribuir una solución sin distribuir un mapa del error. Lo único que queda por hacer es qué tan rápido puede llegar el parche al sitio antes de que alguien lo lea.

WordPress tiró de esa palanca el viernes. El tráfico al lote/v1 mostrará cuándo llegó el atacante, y las estadísticas de la propia versión de WordPress mostrarán si el parche llegó primero. Sólo uno de esos números será noticia.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLa escasez de memoria inducida por la IA sacude el mercado indio de teléfonos inteligentes
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Subgrupo GoldenEyeDog vinculado a la violación de DigiCert y al robo de certificados de firma de código

julio 17, 2026

Una prueba de codificación falsa muestra malware compatible con OtterCookie oculto en imágenes de banderas SVG

julio 17, 2026

La UE ordena a Google que abra el micrófono, la cámara y la pantalla de Android para rivalizar con el asistente de inteligencia artificial

julio 17, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

La nueva falla central de wp2shell WordPress permite a un atacante no autenticado ejecutar código

La escasez de memoria inducida por la IA sacude el mercado indio de teléfonos inteligentes

Apple y Google ordenan eliminar la aplicación ‘nudify’ de la App Store

La startup nuclear Valor Atomics en conversaciones para recaudar nueva financiación con una valoración de 6.000 millones de dólares

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.