Fallo en el constructor de sitios Wix (proveedor de servicios en la Nube) pone en riesgo computadoras a ataques de gusanos

El problema reside en una vulnerabilidad cross-site scripting (XSS) encontrada en los sitios generados por Wix.

Wix, el proveedor de servicios en la nube para desarrollar aplicaciones web tiene, al parecer un problema significativo que podría haber facilitado el camino para que un gusano dañe seriamente a varios sitios alrededor del mundo.

El problema proviene de una vulnerabilidad cross-site scripting (XSS) que fue encontrada en sitios construidos con Wix, de acuerdo a Matt Austin, un investigador de Contrast Security.

Aunque Wix dijo haber arreglado la falla, esto muestra como un error en la programación puede expandir los daños.

Las vulnerabilidades XSS son comunes y resultado de fallas en el código de los sitios web. Los atacantes tomas ventaja de ello para obligar a los usuarios a ejecutar scripts maliciosos que, por ejemplo, pudieran descargar malware en sus computadoras o extraer las cookies que se encuentra en sus equipos. Austin encontró el mismo problema en los sitios de Wix, la cual es responsable de la construcción de los sitios y tiene 87 millones de usuarios en Europa, Asia y Latinoamérica.

Un atacante puede secuestrar la URL de cualquier sitio creado a través de Wix y redirigir a los visitantes para descargar automáticamente archivos maliciosos de una fuente ajena, dijo en una entrada de su blog.

Adicionalmente, esta vulnerabilidad pudriera haber permitido a algún atacante hacerse con las cuentas de clientes a través de la plataforma Wix como parte de un exploit de autopropagación.

“Eso es lo interesante de esta vulnerabilidad”, dijo. “Es potencialmente parecido a un gusano y pudo haberse propagado rápidamente”.

Esto es posible porque la falla que encontró también afecta el editor de dominios de Wix (donde los clientes acceden a los sitios que han construido).

Para ganar acceso, Austin dijo que los atacantes pudieron haber creado un sitio web malicioso que tuviera como objetivo clientes con cuentas en Wix. En este caso, estos ataques pudieron haber sido específicamente diseñados para apropiarse de los ID de sesión almacenados en los navegadores que tuvieran sesión iniciada en Wix.
Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=3082

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies