Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

WordPress Core < 5.5.2 - Privilege Escalation via XML-RPC (escalada de privilegios) - version 3.7.35

WORDPRESS HIGH CVE-2020-28035

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalada de privilegios en el núcleo de WordPress, que afecta a versiones anteriores a la 5.5.2. Este fallo, clasificado como de alta gravedad, puede permitir a un atacante obtener permisos elevados de forma no autorizada.

Contexto técnico

La vulnerabilidad se origina en el manejo inadecuado de solicitudes XML-RPC, lo que permite a un atacante ejecutar acciones que normalmente requerirían privilegios más altos. La superficie de ataque se centra en el acceso a la funcionalidad XML-RPC, que es utilizada para la comunicación remota con el sitio.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la integridad del sitio web, permitiendo a un atacante obtener acceso no autorizado a funciones administrativas. Esto podría resultar en la modificación de contenido, la instalación de malware o la manipulación de datos sensibles, afectando gravemente la reputación y operatividad del negocio.

Vector de explotación

Los atacantes suelen aprovechar esta vulnerabilidad enviando solicitudes maliciosas a través de la interfaz XML-RPC, utilizando técnicas de fuerza bruta o ataques automatizados para escalar privilegios sin autorización.

Mitigación recomendada

Para mitigar este riesgo, se recomienda actualizar a la versión 5.5.2 o superior de WordPress. Además, se sugiere desactivar XML-RPC si no se utiliza, y aplicar medidas de seguridad adicionales como la limitación de intentos de inicio de sesión y la implementación de un firewall de aplicaciones web.

Señales de detección

Se deben monitorizar los registros de acceso en busca de patrones inusuales de solicitudes a la API XML-RPC, así como cualquier intento de acceso a funciones administrativas sin las credenciales adecuadas.

Alcance afectado

Las versiones de WordPress anteriores a la 5.5.2 son vulnerables. Se recomienda a todos los administradores de sitios que verifiquen la versión de su instalación y realicen las actualizaciones necesarias.

Vulnerabilidades relacionadas

MEDIUM WORDPRESS

wp-core

WordPress Core 5.8 beta - Block Editor Authorization Bypass

Ver ficha
HIGH WORDPRESS

wp-core

WordPress Core < 5.5.2 - Privilege Escalation via XML-RPC

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress Core < 5.3.1 - Authorization Bypass

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress Core < 5.2.4 - Authorization Bypass

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress Core < 5.0.1 - Authorization Bypass

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress Core < 4.9.1 - Authorization Bypass

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress Core < 4.7.5 - Authorization Bypass Allowing Post Meta Updates

Ver ficha
MEDIUM WORDPRESS

wp-core

WordPress Core < 4.7.2 - Authorization Bypass to Term Disclosure

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad