Vulnerabilidad grave en WordPress

Leo en diferentes sitios de Internet, que la compañía de Tecnología Finlandesa Klikki Oy ha localizado una vulnerabilidad grave en WordPress. Afecta los sitios creados sobre la versión 3 del famosos gestor de contenidos o CMS. Se calcula que el 86 % de los sitios están afectados.

Para aprovechar dicha vulnerabilidad el atacante utiliza un campo de entrada de texto, cómo en el formulario de comentarios sin autentificar, que está activiado de forma predeterminada.
La versión 3 fue lanzada en 2010, la versión 4 no lleva dicho bug. Durante cuatro años el bug ha acompañado a WordPress sin corregirse.

¿Cómo funciona?

El atacante puede aprovechar dicho bug, introduciendo un comentario de texto,  en este caso un JavaScript malicioso. Dicho código se ejecutará cuando el administrador de la web o blog se digne a leerlo. De ésta manera el código podría ejecutar tareas administrativas en nuestro WordPress.

Por ejemplo podría crear una nueva cuenta de administrador, el cambio de contraseña del administrador actual e incluso la ejecución del código PHP suministrador por el atacante en nuestro servidor. Llegando incluso a permitir el acceso del atacante del servidor de hosting.

¿Qué hacer?

WordPress ya ha suministrado los parches de seguridad necesarios para dichas versiones. De hecho, el famoso plugin Akismet, ya filtra los comentarios que pudiesen contener dicho código malicioso.

Para obtener más información:

Aviso en Kikki Oy

Noticia en arstechnica.com

You may also like...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR