Fallo en complemento de caché de WordPress podría afectar a más de 1 millón de sitios

Publicado el 12 abril 2015 ¬ 16:59 pmh.mscComentarios desactivados en Fallo en complemento de caché de WordPress podría afectar a más de 1 millón de sitios

Un investigador encontró que los atacantes podrían explotar la vulnerabilidad para inyectar código malicioso en las páginas de administración de WP Super Cache.

Una vulnerabilidad en el popular complemento WP Super Cache para WordPress podría permitir a los atacantes inyectar scripts maliciosos en los sitios web. Los scripts, al ser cargados por administradores, podrían originar acciones no autorizadas.

Los sitios web de WordPress son un objetivo popular para los atacantes y muchos de ellos están comprometidos debido a vulnerabilidades en sus complementos (plugins). Apenas el jueves, el FBI advirtió que unos atacantes, solidarios con el grupo extremista ISIS, también conocido como ISIL, habían accedido ilegalmente y modificado varios sitios web explotando vulnerabilidades conocidas en los complementos de WordPress.

El error persistente de cross-site scripting (XSS) en WP Super Cache puede ser explotado al enviar una consulta específicamente diseñada a un sitio web de WordPress con el complemento instalado, de acuerdo con Marc-Alexandre Montpas, investigador senior de vulnerabilidades en la firma de seguridad web Sucuri.

El ataque podría ser usado para inyectar scripts maliciosos en una página que liste los archivos almacenados por el complemento y que sólo es accesible por los administradores. Como tal, para que el código malicioso sea ejecutado, la página debe ser vista por un administrador.

“Al ser ejecutados, los scripts inyectados pueden utilizarse para realizar muchas otras cosas, como agregar una nueva cuenta de administrador al sitio, inyectar puertas traseras utilizando herramientas de edición de temas de WordPress, etc.” dijo Montpas, quien encontró la vulnerabilidad, el jueves en una entrada de blog.
WP Super Cache se puede usar para optimizar sitios de WordPress al convertir páginas generadas dinámicamente en archivos HTML estáticos que después son proporcionados a los visitantes. Esto puede ser de gran utilidad para sitios web que reciben una gran cantidad de tráfico, ya que reduce el consumo de recursos y ancho de banda del servidor.

Sin embargo, reemplazar páginas generadas en PHP con copias estáticas almacenadas tiene sus desventajas. La mayor de ellas es que cada vez que se modifica una página, el archivo almacenado correspondiente debe ser regenerado.

Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2228

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies