- Esta compromete al menos a 20 dependencias gubernamentales en México.
Se ha identificado una grave vulnerabilidad de seguridad en el complemento LiteSpeed Cache para WordPress. Este fallo permite la escalada de privilegios, lo que podría facilitar que cualquier visitante no autenticado obtenga acceso de administrador. A través de este acceso, es posible cargar e instalar complementos maliciosos en el sitio afectado.
La vulnerabilidad, catalogada como CVE-2024-50550 y con una puntuación CVSS de 8.1, ha sido corregida en la versión 6.5.2 del complemento. Se recomienda actualizar a esta versión cuanto antes para asegurar la protección de los sitios.
LiteSpeed Cache es un popular complemento de aceleración para sitios en WordPress, que ofrece avanzadas capacidades de almacenamiento en caché y optimización, tal como menciona su nombre. Actualmente, está presente en más de seis millones de sitios web.
CVE-2024-50550 es la tercera vulnerabilidad de seguridad detectada en LiteSpeed en los últimos dos meses. Las otras dos, identificadas como CVE-2024-44000 y CVE-2024-47374, cuentan con puntuaciones CVSS de 7.5 y 7.2, respectivamente.
Adicional a lo anterior, el conflicto legal entre Automattic, la empresa matriz de WordPress, y WP Engine sobre el uso de las marcas registradas WordPress y WooCommerce ha generado tensiones entre el software libre y los intereses comerciales, lo que ha llevado a algunos desarrolladores a abandonar el repositorio de WordPress.org. Este conflicto plantea importantes implicaciones para la comunidad de WordPress, que depende de un equilibrio entre el software libre y las empresas que ofrecen servicios asociados. Ante esta situación, se recomienda que los usuarios monitoreen los canales oficiales para mantenerse informados sobre posibles cierres de complementos y problemas de seguridad que puedan surgir.
Los usuarios que no instalen manualmente los complementos eliminados del repositorio de WordPress.org corren el riesgo de no recibir nuevas actualizaciones que pueden incluir importantes correcciones de seguridad. Esto puede dejar a los sitios web expuestos a piratas informáticos que suelen explotar vulnerabilidades conocidas y pueden aprovecharse de esas situaciones.
Algunas instituciones gubernamentales que podrían estar en riesgo debido a esta vulnerabilidad incluyen:
- Liquidación de Unidades (gob.mx.liquidaciondeunidades.org.mx)
- Municipio de Singuilucan del Estado de Hidalgo
- Municipio de Armería del Estado de Colima
- Secretaría de Turismo y Economía del Gobierno del Estado de Baja California Sur
- Museo del Ferrocarril del Estado de San Luis Potosí
- Ayuntamiento de Pilcaya del Estado de Guerrero
- Consejo de Ciencia y Tecnología del Estado de Puebla
- Comisión de Agua y Alcantarillado de Actopan del Estado de Hidalgo
- Instituto de Psiquiatría del Estado de Baja California
- Secretaría de Desarrollo Económico del Estado de San Luis Potosí
- Entidad Superior de Auditoría y Fiscalización del Congreso del Estado de Morelos
- Gobierno Municipal de Villaldama del Estado de Nuevo León
- Gobierno Municipal El Mante del Estado de Tamaulipas
- Secretaría del Medio Ambiente del Estado de Coahuila
- Municipio de Telchac Puerto del Estado de Yucatán
- Tribunal de Justicia Administrativa del Estado de Baja California Sur
- Instituto Municipal de la Juventud San Pedro del Estado de Nuevo León
- Ayuntamiento de Chansinkín del Estado de Yucatán
- Municipio de Benito Juárez del Estado de Tlaxcala
- Municipio de Acatlán del Estado de Veracruz
Por lo anterior, se recomienda implementar las actualizaciones necesarias y realizar un monitoreo constante de los sistemas.
Fuente: Víctor Ruiz, fundador de SILIKN