Una nueva vulnerabilidad en WordPress descubierta por investigadores de la firma Netsparker pone en riesgo a millones de sitios web, creados con uno de los sistemas de gestión de contenido mundial más popular y a la vez más atacados. Tanto que recientemente, Google añadió a sus listas negras 10.000 sitios webs WordPress.
La vulnerabilidad es del tipo Cross-site scripting (XSS), un vector de ataque habitual en aplicaciones Web y que permite inyectar código JavaScript o en otro lenguaje script para secuestrar sesiones de usuario y robar información confidencial.
Como en los casos de Disqus o de SEO Yoast, esta vulnerabilidad Cross-site scripting afecta a otros dos plug-ins muy utilizados: la herramienta de personalización JetPack usada en un millón de sitios web y el diseñador de temas Twenty Fifteen.
Ambos complementos utilizan un paquete conocido como genericons, lo que les pemite introducir iconos vectorizados en una fuente incluyendo un fichero vunerable de nombre “example.html”. Afortunadamente, la solución a esta vulnerabilidad es sencilla y pasa por eliminar el fichero genericons/example.html.
WordPress es fantástico y facilita enormemente la gestión y creación de contenido en millones de sitios web, pero el número de vulnerabilidades que le acosan es numerosa por lo que es recomendado mantener permanentemente actualizado el software y especialmente sus complementos, vía principal de ataques.
La vulnerabilidad es del tipo Cross-site scripting (XSS), un vector de ataque habitual en aplicaciones Web y que permite inyectar código JavaScript o en otro lenguaje script para secuestrar sesiones de usuario y robar información confidencial.
Como en los casos de Disqus o de SEO Yoast, esta vulnerabilidad Cross-site scripting afecta a otros dos plug-ins muy utilizados: la herramienta de personalización JetPack usada en un millón de sitios web y el diseñador de temas Twenty Fifteen.
Ambos complementos utilizan un paquete conocido como genericons, lo que les pemite introducir iconos vectorizados en una fuente incluyendo un fichero vunerable de nombre “example.html”. Afortunadamente, la solución a esta vulnerabilidad es sencilla y pasa por eliminar el fichero genericons/example.html.
WordPress es fantástico y facilita enormemente la gestión y creación de contenido en millones de sitios web, pero el número de vulnerabilidades que le acosan es numerosa por lo que es recomendado mantener permanentemente actualizado el software y especialmente sus complementos, vía principal de ataques.
0 comentarios:
Publicar un comentario