Contenidos
El complemento de respaldo de WordPress con más de 200,000 instalaciones parchó una vulnerabilidad de denegación de servicio de alta gravedad
Un popular complemento de respaldo de WordPress instalado en más de 200.000 sitios web recientemente parchó una vulnerabilidad de alta gravedad que podría provocar un ataque de denegación de servicio.
Complemento de copia de seguridad
La vulnerabilidad afecta al complemento de copia de seguridad Backuply WordPress La creación de copias de seguridad es una función necesaria para todos los sitios web, no solo para los sitios de WordPress, porque las copias de seguridad ayudan a los editores a volver a una versión anterior en caso de que el servidor falle y pierda datos en una falla catastrófica.
Las copias de seguridad de sitios web son invaluables para las migraciones de sitios, la recuperación de piratería y las actualizaciones fallidas que hacen que un sitio web no funcione.
Backuply es un complemento especialmente útil porque realiza una copia de seguridad de los datos en múltiples servicios de nube de terceros confiables y admite múltiples formas de descargar copias locales para crear copias de seguridad redundantes, de modo que si una copia de seguridad en la nube es mala, el sitio se pueda recuperar a partir de otra copia de seguridad almacenada localmente.
Según Backuply: Backuply
“Backuply comes with Local Backups and Secure Cloud backups with easy integrations with FTP, FTPS, SFTP, WebDAV, Google Drive, Microsoft OneDrive, Dropbox, Amazon S3 and easy One-click restoration.”
«Backuply viene con copias de seguridad locales y copias de seguridad seguras en la nube con integraciones sencillas con FTP, FTPS, SFTP, WebDAV, Google Drive, Microsoft OneDrive, Dropbox, Amazon S3 y una restauración sencilla con un solo clic».
Vulnerabilidad que afecta a Backuply
La base de datos nacional de vulnerabilidades del gobierno de los Estados Unidos advierte que Backuply hasta la versión 1.2.5 incluida contiene una falla que puede provocar ataques de denegación de servicio. warns
La advertencia explica:
“This is due to direct access of the backuply/restore_ins.php file and. This makes it possible for unauthenticated attackers to make excessive requests that result in the server running out of resources.”
“Esto se debe al acceso directo al archivo backuply/restore_ins.php y Esto hace posible que atacantes no autenticados realicen solicitudes excesivas que provoquen que el servidor se quede sin recursos”.
Ataque de denegación de servicio (DoS)
Un ataque de denegación de servicio (DoS) es aquel en el que una falla en un software permite a un atacante realizar tantas solicitudes rápidas que el servidor se queda sin recursos y ya no puede procesar más solicitudes, incluido servir páginas web a los visitantes del sitio.
Una característica de los ataques DoS es que a veces es posible cargar scripts, HTML u otro código que luego puede ejecutarse, lo que permite al atacante realizar prácticamente cualquier acción.
Las vulnerabilidades que permiten ataques DoS se consideran críticas y se deben tomar medidas para mitigarlas lo antes posible.
Documentación del registro de cambios de Backuply
El registro de cambios oficial de Backuply, que anuncia los detalles de cada actualización, señala que se implementó una solución en la versión 1.2.6. La transparencia y la rápida respuesta de Backuply son responsables y una señal de un desarrollador confiable.
Según el registro de cambios: Changelog
“1.2.6 (FEBRUARY 08 2024)
[Security-Fix] In some cases it was possible to fill up the logs and has been fixed. Reported by Villu Orav (WordFence)”
“1.2.6 (08 DE FEBRERO DE 2024) Reportado por Villu Orav (WordFence)”
Recomendaciones
En general, se recomienda encarecidamente que todos los usuarios del complemento Backuply actualicen su complemento lo antes posible para evitar un evento de seguridad no deseado.
Lea la descripción de la vulnerabilidad en la Base de datos nacional de vulnerabilidades:
CVE-2024-0842 CVE-2024-0842
Lea el informe de vulnerabilidad de Wordfence Backuply:
Backuply – Copia de seguridad, restauración, migración y clonación <= 1.2.5 – Denegación de servicio Backuply – Backup, Restore, Migrate and Clone <= 1.2.5 – Denial of Service
Imagen destacada de Shutterstock/Doppelganger4
Leer el articulo original en Search Engine Journal.