La semana pasada, lanzamos WPML 4.6.13 y WooCommerce Multilingual 5.3.7 para solucionar un problema de seguridad notificado por Wordfence. Queremos compartir detalles adicionales sobre esta corrección y lo que significa para la seguridad de sus sitios.
Cronología de los eventos
En WPML, la seguridad es nuestra máxima prioridad y nos comprometemos a garantizar que sus sitios web permanezcan seguros. Para esta corrección, trabajamos en estrecha colaboración con Wordfence, uno de los nombres más respetados en la comunidad de seguridad de WordPress.
Wordfence se puso en contacto con nosotros en julio para informarnos sobre el problema de WPML, pero, desafortunadamente, el mensaje terminó en la carpeta de spam y pasó desapercibido durante un tiempo. Afortunadamente, nos enviaron un correo electrónico de seguimiento en agosto y lo retomamos a partir de ahí, parcheando la vulnerabilidad de inmediato y proporcionando a Wordfence una versión parcheada para su validación.
Siendo los grandes socios y expertos que son, Wordfence informó de otra vulnerabilidad XSS menor en el proceso, que también parcheamos de inmediato.
Mientras tanto, también recibimos un informe de Patchstack sobre una vulnerabilidad similar en WooCommerce Multilingual.
Después de obtener una confirmación de que la corrección superó toda la validación, lanzamos WPML 4.6.13 y WooCommerce 5.3.7 el 20 de agosto.
El papel clave de Wordfence
Nos gustaría aprovechar esta oportunidad para agradecer a Wordfence su gran ayuda para identificar y parchear estas vulnerabilidades. No se puede exagerar la importancia de su trabajo para nosotros y para todo el ecosistema de WordPress.
Su diligencia en el seguimiento del informe inicial y su colaboración durante todo el proceso de parcheo es un testimonio de su compromiso con la comunidad de WordPress.
Cómo funciona este exploit y lo que significa para usted
Algunos artículos en línea han descrito este problema como un “exploit crítico” que afecta a más de un millón de sitios. Si bien estamos totalmente de acuerdo en que la seguridad es un asunto serio, es importante aclarar exactamente cómo funciona este exploit en situaciones del mundo real.
Esta vulnerabilidad requiere que un actor malintencionado tenga privilegios de edición en un sitio de WordPress. Esto significa que necesita tener un rol de usuario de Colaborador o de nivel superior en el sitio de destino.
Dicho esto, la gravedad se reduce a qué tipos de usuarios tiene en su sitio. Si usted y su equipo son los únicos administradores/escritores/editores del sitio, no hay nadie fuera de usted o de su equipo que pueda explotar esta vulnerabilidad.
Por otro lado, si está ejecutando un sitio con usuarios que tienen acceso de nivel de colaborador y no conoce a estas personas personalmente, podría estar más en riesgo.
Finalmente, queremos enfatizar que en ningún momento la mayoría de los usuarios de WPML estuvieron en riesgo. El parche se desarrolló, probó y lanzó en estrecha colaboración con Wordfence, y el problema se ha resuelto por completo.
Como siempre, recomendamos encarecidamente mantener WPML y WooCommerce Multilingual actualizados en sus sitios.
En caso de cualquier duda
Para nuestros usuarios y socios que puedan haber estado preocupados por los informes recientes, queremos asegurarles que no hay motivo para la alarma. El problema se resolvió rápida y eficazmente, y no hay evidencia de que se haya explotado en la naturaleza.
Si tiene alguna pregunta o inquietud, no dude en contactarnos.
Seguimos comprometidos con la seguridad de sus sitios web y con nuestra continua colaboración con Wordfence y otros expertos en seguridad.
Gracias por su continua confianza en WPML,
Equipo de WPML