La vulnerabilidad CVE-2024-13346 en Avada, el tema premium y más utilizado de WordPress, deja la puerta abierta a código malicioso que puede afectar a tu página web. En este artículo te explicamos que es Avada y cómo afecta esta vulnerabilidad a tu página, pero también como solucionarla.

¿Qué es Avada?

Un tema es una plantilla que tiene como finalidad facilitar algunas tareas a los desarrolladores y diseñadores web de cara a crear y gestionar una página web. Aunque estas plantillas son de gran ayuda a la hora de crear una nueva página, es necesario tener un control muy amplio de la herramienta y conocimientos extensos para poder aprovechar todas sus posibilidades y aportar un diseño único y exclusivo a cada página web.

Avada, es una plantilla premium y es una de las más utilizadas a la hora de crear páginas web WordPress, y esta vulnerabilidad afecta a todas las versiones hasta la 7.11.13, incluida.

Vulnerabilidad CVE-2024-13346, ¿Que ocurre?

Avada, hasta su versión 7.11.13, permite ejecutar una acción que no valida correctamente los valores antes de llamar a do_shortcode (función de WordPress para ejectar shortcodes) lo que abre la puerta a atacantes no autenticados que pueden ejecutar shortcodes, o pequeños fragmentos de código que sirven como comandos. Si alguien puede entrar y ejecutar acciones a través de código, puede ocurrir con código malicioso y afectar a la página web.

INCIBE, el Instituto Nacional de Ciberseguridad de España, cataloga esta vulnerabilidad como alta, por lo que debemos actuar para no poner en riesgo nuestra página y la información almacenada en ella. El acceso a través de red, sin necesidad de autenticación ni interacción del usuario, es lo que proporciona esta inseguridad y eleva el nivel de preocupación de los usuarios del tema Avada.

Vulnerabilidad en Avada CVE-2024-13346

La solución más completa

Como podía esperarse, los desarrolladores y el equipo de mantenimiento y seguridad de Avada son conocedores de esta vulnerabilidad, por lo que fue resuelta en la siguiente versión, en la 7.11.14, pero aquellas páginas web que siguen teniendo instalada una versión previa a esta están afectadas por la CVE-2024-13346.

Si existe una versión nueva más segura y tenemos una versión anterior con accesos y verificaciones no seguras, la solución es sencilla. Debemos actualizar el tema de nuestra página web.

¿Que cuestiones debemos tener en cuenta a la hora de actualizar un tema?

El funcionamiento de un tema o plantilla, está relacionado estrechamente con otros complementos que participan en la página web, como si fuera una red de procesos e interacciones.

Cuando actualizamos una parte de una web WordPress, debemos conocer de antemano el alcance y lo que supondrá para el resto de funcionalidades de esa red, incluso de la propia configuración del alojamiento. Hay que valorar la compatibilidad de la versión del WordPress y de los plugins, las funcionalidades extra que acompañan al tema y otras características del servidor como la compatibilidad con el PHP.

También tenemos que tener en cuenta que las versiones más antiguas de Avada no necesitaban de un código de licencia propio, pero que las nuevas versiones sí las necesitan. Por lo que si el tema instalado requiere de número de licencia, es necesario comprarla para poder realizar la actualización de seguridad.

Recomendamos en todos los casos, que estas actualizaciones y la gestión de los temas o plugins instalados, sean gestionados en todo momento por personal técnico especializado en desarrollo y diseño web.

Vulnerabilidad en Avada CVE-2024-13346

Recordad que somos desarrolladores web, por lo que nuestro equipo de sistemas, desarrollo y soporte, está a vuestra entera disposición para comprobar el estado de tu página web ante esta y otras vulnerabilidades.

El Servicio Web Activa que ofrecemos para el mantenimiento de las páginas web, que además incluye alojamiento web y dominios, incluye la realización de actualizaciones vinculadas a nuevas vulnerabilidades que aparecen dentro de nuestra monitorización de servicios.

Si quieres más información sobre este servicio que permite delegar la gestión y la seguridad de tu página web en un equipo de profesionales como Zitelia, no dudes en contactar con nosotros para informarte.

Para conocer más sobre este tipo de vulnerabilidades y como afectan a las páginas web o para conocer más información sobre la CVE-2024-13346, recomendamos la lectura de las siguientes fuentes: INCIBE, vulnerabilidades, Database Nacional de Vulnerabilidades de U.S. y WPScan, que nos cuentan mucho más sobre estos aspectos.

Conoce nuestros Planes de Alojamiento y Servidores Dedicados

En Zitelia llevamos más de 10 años siendo expertos en acercar las soluciones tecnológicas a las empresas.

Si necesitas una página web o alojamiento para tu empresa, no dudes en contactarnos.