Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Campaña de explotación de vulnerabilidades en FCKeditor

Fecha de publicación 16/05/2024
Importancia
5 - Crítica
Recursos Afectados

FCKeditor, versiones diferentes a V4 y V5.

Descripción

Se ha detectado una campaña de ciberataques que aprovecha la explotación de múltiples vulnerabilidades en el plug-in FCKeditor de gestores de contenido, que podrían permitir a un ciberdelincuente subir código arbitrario, subir o transferir archivos maliciosos o crear y ejecutar código de su elección.

Solución

Se recomienda actualizar FCKeditor a la última versión que corrija las vulnerabilidades descritas en este aviso.

En caso de haber sido víctima de alguno de los exploits que afectan a estas vulnerabilidades, se recomienda, en primer lugar, bloquear las URL maliciosas utilizadas en las redirecciones para prevenir futuros ataques y, a continuación, restituir a la última versión estable de los recursos afectados.

Recuerda la importancia de mantener el software actualizado para reducir el riesgo de que las vulnerabilidades afecten a la seguridad de tu empresa. Además, para mitigar los riesgos en caso de incidente y poder recuperar la actividad normal del negocio, es esencial contar con un plan de respuesta ante incidentes.

Detalle

Los exploits detectados y analizados hasta el momento provocan una redirección hacia URL maliciosas que podrían representar un riesgo para la privacidad y seguridad de los usuarios. 

Aunque entre las vulnerabilidades detectadas, una explotación exitosa de las mismas podría permitir a un ciberdelincuente remoto crear ficheros ejecutables en diferentes directorios y ejecutar código mediante la subida de estos ficheros cuando se está accediendo a ellos. Además, podría subir o transferir archivos maliciosos.

En cuanto a la vulnerabilidad crítica, una explotación exitosa de la misma podría permitir a un ciberdelincuente subir código arbitrario.
 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Listado de referencias
NVD