Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Fuente base de datos: Wordfence Intelligence

Getwid – Gutenberg Blocks <= 2.0.10 - Missing Authentication to MailChimp API key update

PLUGIN MEDIUM CVE-2024-6491

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de autenticación en el plugin Getwid para Gutenberg, que afecta a las versiones hasta la 2.0.10. Esta falla permite la actualización no autorizada de la clave API de MailChimp, lo que puede comprometer la seguridad del sitio.

Contexto técnico

La vulnerabilidad se origina en la falta de autenticación adecuada al actualizar la clave API de MailChimp en el plugin Getwid. Esto crea una superficie de ataque que puede ser explotada por un atacante para modificar configuraciones críticas sin los permisos necesarios.

Impacto potencial

El impacto potencial de esta vulnerabilidad incluye la posibilidad de que un atacante obtenga acceso no autorizado a las configuraciones de MailChimp, lo que podría resultar en la manipulación de listas de correo y el envío de comunicaciones no deseadas. Esto no solo afecta la seguridad del sitio, sino que también puede dañar la reputación de la marca.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas al endpoint de actualización de la clave API sin la debida autenticación, lo que les permite modificar la configuración del plugin sin ser detectados.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin Getwid a la versión 2.0.11 o posterior. Además, se sugiere revisar las configuraciones de seguridad del sitio y aplicar medidas de hardening, como limitar el acceso a áreas administrativas y utilizar autenticación de dos factores.

Señales de detección

Señales de posible explotación incluyen cambios no autorizados en la configuración del plugin Getwid, así como intentos de acceso a la API de MailChimp desde direcciones IP no reconocidas.

Alcance afectado

Las versiones del plugin Getwid hasta la 2.0.10 son las que se encuentran afectadas por esta vulnerabilidad. Es crucial verificar las instalaciones para asegurar que se esté utilizando la versión corregida.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

getwid

Getwid <= 2.1.2 - Authenticated (Contributor+) Sensitive Information Exposure

Ver ficha
MEDIUM PLUGIN

getwid

Multiple Plugins <= (Various Versions) - Authenticated (Contributor+) Stored DOM-Based Cross-Site Scripting via FancyBox JavaScript Library

Ver ficha
MEDIUM PLUGIN

getwid

Getwid – Gutenberg Blocks <= 2.0.12 - Authenticated (Contributor+) Stored Cross-Site Scripting

Ver ficha
MEDIUM PLUGIN

getwid

Getwid – Gutenberg Blocks <= 2.0.10 - Missing Authorization to Google API key update

Ver ficha
MEDIUM PLUGIN

getwid

Getwid – Gutenberg Blocks <= 2.0.7 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting via 'Countdown'

Ver ficha
MEDIUM PLUGIN

getwid

Getwid – Gutenberg Blocks <= 2.0.5 - Authenticated(Contributor+) Stored Cross-Site Scripting via Block Content

Ver ficha
MEDIUM PLUGIN

getwid

Getwid – Gutenberg Blocks <= 2.0.4 - Missing Authorization to Recaptcha API Key Modification

Ver ficha
MEDIUM PLUGIN

getwid

Getwid – Gutenberg Blocks <= 2.0.4 - Captcha Bypass

Ver ficha

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad