Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Newsletters <= 4.6.8.5 - Object Injection

PLUGIN CRITICAL CVE-2018-20987

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Newsletters hasta la versión 4.6.8.5, que permite la inyección de objetos. Esta vulnerabilidad tiene un CVSS de 9.8, lo que la clasifica como altamente severa.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la deserialización de datos, lo que permite a un atacante inyectar objetos maliciosos en el sistema. Esta falla puede ser explotada a través de entradas manipuladas que el plugin no valida adecuadamente.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer gravemente la seguridad del sitio, permitiendo a un atacante ejecutar código arbitrario, lo que podría resultar en la toma de control total del sitio o en la filtración de datos sensibles.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad enviando solicitudes maliciosas que contienen datos manipulados al plugin, lo que desencadena la deserialización de objetos no seguros.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar el plugin Newsletters a la versión 4.6.8.6 o superior. Además, es aconsejable realizar una auditoría de seguridad del sitio y aplicar medidas de hardening adicionales.

Señales de detección

Se pueden detectar intentos de explotación mediante la monitorización de logs de acceso en busca de patrones inusuales en las solicitudes al plugin, así como alertas sobre actividad sospechosa en el sistema.

Alcance afectado

Las versiones del plugin Newsletters desde la 4.6.8.5 y anteriores son vulnerables. Se debe revisar la instalación para asegurar que se ha actualizado a la versión segura.

Vulnerabilidades relacionadas

HIGH PLUGIN

newsletters-lite

Newsletters <= 4.11 - Unauthenticated PHP Object Injection

Ver ficha
MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.12 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
HIGH PLUGIN

newsletters-lite

Newsletters <= 4.10 - Unauthenticated Local File Inclusion

Ver ficha
MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.10 - Cross-Site Request Forgery

Ver ficha
HIGH PLUGIN

newsletters-lite

Newsletters <= 4.9.9.9 - Authenticated (Administrator+) Local File Inclusion

Ver ficha
MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.9.9.8 - Authenticated (Contributor+) SQL Injection orderby Parameter

Ver ficha
MEDIUM PLUGIN

newsletters-lite

Newsletters <= 4.9.9.7 - Authenticated (Administrator+) SQL Injection

Ver ficha
HIGH PLUGIN

newsletters-lite

Newsletters <= 4.9.9.7 - Unauthenticated Stored Cross-Site Scripting

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad