Novedades de la semana: actualizaciones y vulnerabilidades
Actualizaciones menores con mejoras mayores
El mundo de los sistemas de gestión de contenidos (CMS) sigue avanzando a un ritmo acelerado. Los dos gigantes de la industria, WordPress y PrestaShop, han lanzado recientemente actualizaciones significativas. Aunque parecen mejoras menores a primera vista, estas actualizaciones han transformado la forma en que los usuarios interactúan con estas plataformas.
La última versión de PrestaShop, la 8.1, ha dado un giro importante a su interfaz, proporcionando una experiencia mucho más eficiente y amigable para el usuario. La página de gestión de productos ha sido completamente rediseñada, facilitando la administración de combinaciones de productos, precios, impuestos, stock e imágenes. Esto es especialmente útil para tiendas con un gran número de combinaciones de productos.
Además de los cambios visuales, PrestaShop 8.1 también incluye nuevas funcionalidades que proporcionan un control mejorado sobre las etiquetas de disponibilidad de productos, mejoras en las configuraciones SEO para productos y soporte para la generación de imágenes en múltiples formatos (WebP, AVIF).
El rendimiento de la tienda también ha experimentado mejoras significativas. Los desarrolladores se beneficiarán de un acceso simplificado al perfilador de rendimiento de la tienda. En resumen, aunque la actualización 8.1 se describe como ‘menor’, promete cambiar la forma en que los usuarios interactúan con PrestaShop, optimizando la gestión de productos y la eficiencia del sitio.
Por otro lado, WordPress ha lanzado la Beta 2 de su versión 6.3. Aunque esta versión aún está en desarrollo, ya ha marcado un progreso notable en los objetivos de la hoja de ruta de WordPress.
Uno de los principales avances de esta Beta es una mejor experiencia en la edición sitio, la cual cuenta con alrededor de 500 características nuevas y han corregido más de 400 errores. Los creadores de sitios ahora pueden construir páginas web, diseñar disposiciones atractivas y gestionar contenidos sin necesidad de cambiar entre múltiples áreas de configuración o de editar código.
En cuanto a rendimiento, WordPress 6.3 Beta 2 ha continuado las mejoras de rendimiento introducidas en la versión 6.2, incluyendo más de 170 actualizaciones relacionadas con el rendimiento.
Además, esta versión introduce novedades en el Editor de Sitios, expandiéndolo para incluir navegación y edición de páginas, estilos, plantillas y contenido. También debutan nuevos bloques para detalles y notas al pie, junto con actualizaciones para un mejor manejo de las proporciones de imagen y estados de reserva mejorados.
Flujos de seguridad críticos en varios plugins de WordPress
Y hablando de WordPress, recientemente se han conocido dos vulnerabilidades críticas que afectan a dos importantes plugins de WordPress: Social Login y Ultimate Member. Estas amenazas de seguridad representan un riesgo considerable para los sitios web que dependen de estos plugins para su funcionalidad.
El plugin Social Login and Register de miniOrange ha expuesto una falla de seguridad crítica que podría permitir a un actor malintencionado iniciar sesión como cualquier usuario si ya se conoce la información del correo electrónico del usuario.
Esta vulnerabilidad fue corregida en la versión publicada el 14 de junio, la 7.6.5, pero afecta a todas las versiones previas a la 7.6.4.
El problema está en la clave de cifrado, que es de código fijo y se utiliza para asegurar la información durante el inicio de sesión usando cuentas de redes sociales. Este defecto de diseño puede permitir a los atacantes crear una solicitud válida con una dirección de correo electrónico cifrada correctamente, identificándose así como cualquier usuario.
Por otro lado, Ultimate Member, un plugin de WordPress instalado en más de 200.000 sitios, ha revelado una vulnerabilidad crítica de escalada de privilegios que aún no ha sido parcheada y se está explotando activamente. Esta vulnerabilidad permite a los atacantes registrarse en un sitio como administradores.
El problema radica en que, aunque el plugin tiene una lista predefinida de claves prohibidas que un usuario no debería poder actualizar, existen formas de eludir los filtros en las versiones vulnerables del plugin. En consecuencia, los atacantes pueden establecer el valor de metadatos de usuario wp_capabilities, que controla el rol del usuario en el sitio, a ‘administrador’. Esto concede al atacante un acceso completo al sitio vulnerable.
En respuesta a estas amenazas de seguridad, recomendamos a todos los usuarios de WordPress que actualicen sus plugins a las últimas versiones disponibles y seguras tan pronto como sea posible. La prevención es siempre el mejor remedio en el campo de la seguridad, por lo que mantenerse al día con todas las actualizaciones de seguridad para todos los plugins instalados es esencial para proteger tu sitio web de posibles ataques.
El golpe certero a una red criminal cifrada
Han pasado casi tres años desde que la red internacional de comunicaciones cifradas EncroChat, que servía de plataforma para el crimen organizado a nivel global, fue desarticulada por las autoridades policiales de la Unión Europea. El impacto de esta desmantelación ha sido profundo y significativo, tal como han revelado recientemente Europol, Eurojust y las autoridades francesas y holandesas.
La Operación Venetic, como se denominó, empezó en 2016 y ha provocado una oleada de arrestos que supera ya las 6.500 detenciones, incluyendo a 197 “objetivos de alto valor”. Entre los arrestados ya sentenciados, las condenas suman un total de 7.134 años de prisión. Pero no solo personas han sido el blanco de esta operación, sino también los activos monetarios y físicos vinculados al crimen. Se han incautado 739,7 millones de euros en efectivo, congelado otros 154,1 millones en activos y cuentas bancarias, y confiscado una ingente cantidad de drogas, armas, y otros bienes como fincas, vehículos, barcos y aviones.
EncroChat era una red cifrada utilizada por los grupos de crimen organizado para coordinar una amplia gama de actividades ilícitas con más de 60.000 usuarios, principalmente relacionados con la compra y venta de drogas así como el lavado de dinero.
Los dispositivos Android empleados por la red se vendían con la promesa de proporcionar un “anonimato perfecto” a los usuarios. Ofrecían características como la eliminación automática de mensajes y opciones para borrarlos a distancia. Sin embargo, a principios de 2020, las autoridades lograron interceptar, compartir y analizar más de 115 millones de conversaciones criminales.