Mantenimiento Wordpress IguannaWP

BLOG

Uncanny Automator <= 5.9.3 - Vulnerabilidad crítica

Vulnerabilidad en Uncanny Autommator

Alerta WordPress: Vulnerabilidad crítica en el plugin Uncanny Automator pone en riesgo más de 50.000 sitios

¡Ojito, Mulenweberos! Esta semana nos hemos despertado con una noticia preocupante para quienes usamos WordPress y confiamos en sus plugins para automatizar tareas. El equipo de seguridad de Wordfence ha detectado una vulnerabilidad crítica en el popular plugin Uncanny Automator, que afecta a más de 50.000 instalaciones activas.

¿Qué hace este plugin?

Para los que no lo conozcáis, Uncanny Automator es como el «IFTTT» de WordPress. Permite conectar plugins y automatizar acciones: si un usuario completa un formulario, se le puede inscribir automáticamente en un curso, enviar un email o cualquier otra cosa que definas. Muy potente… pero ya sabéis lo que dicen: «Un gran poder conlleva una gran responsabilidad«.

¿Cuál es el problema?

La vulnerabilidad, catalogada como una escalada de privilegios, permite que usuarios con permisos bajos (como suscriptores) puedan ejecutar acciones diseñadas solo para administradores. Esto puede ser aprovechado para modificar configuraciones críticas, insertar contenido malicioso o incluso hacerse con el control del sitio.

Según Wordfence, el fallo reside en cómo el plugin valida las acciones personalizadas (custom actions) que se ejecutan a través de su sistema de automatización. En concreto, el control de acceso no se aplica correctamente en algunos flujos, permitiendo ejecutar tareas que deberían estar restringidas.

¿Qué versiones están afectadas?

El fallo se encuentra en versiones anteriores a la 5.9.3 del plugin. Así que si estás usando Uncanny Automator y no has actualizado recientemente… ya estás tardando.

Uncanny Autommator Alerta

¿Qué hago si tengo este plugin?

  1. Actualiza inmediatamente a la versión 5.9.3 o superior.

  2. Revisa si algún flujo automatizado ha sido modificado recientemente sin tu intervención.

  3. Considera instalar un plugin de seguridad como Wordfence o Sucuri para monitorear actividades sospechosas.

  4. Si usas copias de seguridad automáticas, revisa los últimos días para detectar posibles alteraciones.

Un recordatorio para mis amigos Mateos Mulenweberos

Esto nos recuerda lo importante que es mantener actualizados los plugins, sobre todo si nuestro sitio depende de funcionalidades automatizadas o gestiona usuarios registrados. Y no solo eso: es buena práctica revisar los logs de actividad de vez en cuando para detectar comportamientos extraños.

Si no sabes cómo ver los logs de tu sitio, o quieres que lo expliquemos paso a paso, házmelo saber en los comentarios y preparo una nueva entrega de “Yo me lo instalo, yo me lo mantengo” sobre eso.

Picture of Francisco G.P.

Francisco G.P.

Soy Francisco Gálvez, especializado en mantenimiento de WordPress en Sevilla. Con más de 15 años ofreciendo soluciones completas para la gestión y mantenimiento de sitios web. Deja en mis manos el cuidado de tu página, su seguridad y funcionalidad, para que puedas centrarte en lo realmente importante: tu tiempo y tu negocio.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CONTACTO

Visítame

Me puedes encontrar en Avda. Reina Mercedes 31 Pasaje comercial, local fondo, Sevilla (concreta una cita antes).

Horario

Puedes escribirme o hablar conmigo de lunes a viernes de 9.00 a 13.00 y de 15.00 a 19.00

Datos de contacto

Kit digital
Mantenimiento Wordpress IguannaWP
Actualización WordPress y plugins/temas
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.