Campaña Masiva de Explotación: Vulnerabilidades en la Instalación Arbitraria de Plugins

Campaña Masiva de Explotación: Vulnerabilidades en la Instalación Arbitraria de Plugins

Campaña de explotación masiva: ¡Alerta para los investigadores de vulnerabilidades!

🚀 ¡Desafío: Operación Impacto Máximo! Desde ahora hasta el 10 de noviembre de 2025, puedes ganar recompensas de hasta el doble por todas las propuestas en el ámbito de software que tenga al menos 5,000 instalaciones activas y menos de 5 millones. Bounties de hasta $31,200 por vulnerabilidad. ¡Envíalos y gana a lo grande!

📁 Reto LFInder: Mejora tus habilidades de caza de LFI con un ámbito ampliado. Hasta el 24 de noviembre de 2025, todas las vulnerabilidades LFI en software con al menos 25 instalaciones activas son consideradas para todos los investigadores, sin importar su nivel, y además gana un 30% de bonificación en todas las presentaciones de vulnerabilidades de Inclusión de Archivos Locales que no están ya beneficiadas por otra promoción.

El 25 de septiembre y el 3 de octubre de 2024, recibimos propuestas a través de nuestro Programa de Recompensas por Errores sobre vulnerabilidades de instalación arbitraria de plugins en los plugins de WordPress GutenKit y Hunk Companion, que tienen más de 40,000 y 8,000 instalaciones activas respectivamente. Estas vulnerabilidades permiten a actores de amenazas no autenticados instalar y activar plugins arbitrarios, lo que puede ser utilizado para lograr ejecución remota de código. Nuestros registros indican que los atacantes comenzaron a explotar estas vulnerabilidades masivamente nuevamente el 8 de octubre de 2025, aproximadamente un año después, tras varios incidentes anteriores de explotación a gran escala. El cortafuegos de Wordfence ya ha bloqueado más de 8,755,000 intentos de explotación dirigidos a estas vulnerabilidades.

Los usuarios de Wordfence Premium, Wordfence Care y Wordfence Response recibieron reglas de firewall para protegerse contra cualquier explotación de estas vulnerabilidades el 27 de septiembre de 2024 y el 10 de octubre de 2024. Los sitios que utilizan la versión gratuita de Wordfence recibieron la misma protección tras un retraso estándar de 30 días, el 27 de octubre de 2024 y el 9 de noviembre de 2024.

Instamos a todos los usuarios a actualizar sus sitios a al menos la versión 2.1.1 de GutenKit y la versión 1.9.0 de Hunk Companion lo antes posible.

Resumen de Vulnerabilidades según la Inteligencia de Wordfence

GutenKit <= 2.1.0 – Carga de Archivos Arbitrarios no Autenticados

9.8

Clasificación CVSS
9.8 (Crítica)
ID-CVE
CVE-2024-9234
Versiones Afectadas
<= 2.1.0
Versión Corregida
2.1.1
Recompensa
$716.00

Software Afectado
GutenKit

Slug de Software Afectado
gutenkit-blocks-addon

Investigador
https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/

Este contenido ha sido generado automáticamente con el plugin Autoblog AI. Desarrollado por Zonsai.

Related Posts
¡Lanzamiento exclusivo! Nueva versión del Complemento de Entradas Parciales 1.8

¡Lanzamiento exclusivo! Nueva versión del Complemento de Entradas Parciales 1.8

04/11/2025
WPML ElasticPress 2.1.0 – ¡Realiza Búsquedas en Documentos Adjuntos!

WPML ElasticPress 2.1.0 – ¡Realiza Búsquedas en Documentos Adjuntos!

03/11/2025
Resumen de la Actualización de SEO de Octubre de 2025 por Yoast: Todo lo que Necesitas Saber

Resumen de la Actualización de SEO de Octubre de 2025 por Yoast: Todo lo que Necesitas Saber

03/11/2025
Cómo enviar correos transaccionales de WordPress con Resend y Gravity SMTP de forma sencilla

Cómo enviar correos transaccionales de WordPress con Resend y Gravity SMTP de forma sencilla

31/10/2025
Las Mejores Ofertas de Halloween en WordPress: Temas, Plugins y Hosting para 2025

Las Mejores Ofertas de Halloween en WordPress: Temas, Plugins y Hosting para 2025

31/10/2025
Nuevo Nombre, Mismas Funciones: WPML Multilingüe para CF7 1.3.3

Nuevo Nombre, Mismas Funciones: WPML Multilingüe para CF7 1.3.3

31/10/2025