Resumen ejecutivo
Se ha identificado una vulnerabilidad de autorización en el plugin Getwid para Gutenberg, que afecta a las versiones hasta la 2.0.4. Esta falla permite la modificación del API Key de Recaptcha sin la debida autorización.
Fuente base de datos: Wordfence Intelligence
Getwid – Gutenberg Blocks <= 2.0.4 - Missing Authorization to Recaptcha API Key Modification
PLUGIN
MEDIUM
CVE-2023-6959
Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.
Contexto técnico
La vulnerabilidad se origina en la falta de controles adecuados para la modificación del API Key de Recaptcha, lo que permite a usuarios no autorizados realizar cambios. Esto se traduce en una superficie de ataque que puede ser explotada por cualquier usuario con acceso a ciertas funcionalidades del plugin.
Impacto potencial
El impacto potencial de esta vulnerabilidad es medio, dado que puede comprometer la integridad del sistema de verificación de usuarios a través de Recaptcha, lo que podría llevar a un aumento en el spam o ataques automatizados. Esto puede afectar la reputación del negocio y la seguridad de los datos de los usuarios.
Vector de explotación
La explotación de esta vulnerabilidad generalmente implica que un atacante aproveche la falta de autorización para modificar el API Key de Recaptcha, permitiendo así que el atacante controle el proceso de verificación de los usuarios.
Mitigación recomendada
Se recomienda actualizar el plugin Getwid a la versión 2.0.5 o superior para mitigar esta vulnerabilidad. Además, es aconsejable revisar los permisos de usuario y aplicar medidas de seguridad adicionales para proteger el acceso a configuraciones críticas.
Señales de detección
Señales de posible explotación incluyen cambios no autorizados en la configuración del API Key de Recaptcha o intentos de acceso a funciones administrativas del plugin por usuarios no reconocidos.
Alcance afectado
Las versiones del plugin Getwid hasta la 2.0.4 son las que se ven afectadas. Se recomienda a los administradores de sitios web que utilicen este plugin que verifiquen su versión actual.
Vulnerabilidades relacionadas
MEDIUM
PLUGIN
getwid
Getwid <= 2.1.2 - Authenticated (Contributor+) Sensitive Information Exposure
MEDIUM
PLUGIN
getwid
Multiple Plugins <= (Various Versions) - Authenticated (Contributor+) Stored DOM-Based Cross-Site Scripting via FancyBox JavaScript Library
MEDIUM
PLUGIN
getwid
Getwid – Gutenberg Blocks <= 2.0.12 - Authenticated (Contributor+) Stored Cross-Site Scripting
MEDIUM
PLUGIN
getwid
Getwid – Gutenberg Blocks <= 2.0.10 - Missing Authentication to MailChimp API key update
MEDIUM
PLUGIN
getwid
Getwid – Gutenberg Blocks <= 2.0.10 - Missing Authorization to Google API key update
MEDIUM
PLUGIN
getwid
Getwid – Gutenberg Blocks <= 2.0.7 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via 'Countdown'
MEDIUM
PLUGIN
getwid
Getwid – Gutenberg Blocks <= 2.0.5 - Authenticated(Contributor+) Stored Cross-Site Scripting via Block Content
MEDIUM
PLUGIN
getwid
Getwid – Gutenberg Blocks <= 2.0.4 - Captcha Bypass
¿Tu WordPress podría estar expuesto?
Comprueba si tu web tiene esta vulnerabilidad
Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.
Hacer el análisis gratisProtección profesional para tu WordPress
¿Necesitas ayuda de un experto?
Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.
Hablar con un experto