22 diciembre 2024

La última versión 4.2 de WordPress es vulnerable a 2 exploits peligrosos del tipo XSS Almacenado/Persistente [Actualizado]

xss-atack-wordpress-4-2

La semana pasada, un día antes de que lanzarán la última versión WordPress 4.2, Automattic lanzó la versión 4.1.2 con un arreglo de una grave falla de seguridad y ahora, a pocos días de haberse lanzado la última versión, reportan dos nuevas vulnerabilidades similares, del tipo XSS (Cross-site scripting) almacenado, la cual permite a un atacante inyectar JavaScript.

De acuerdo a lo reportado por el investigador en seguridad informática Jouko Pynnönen de Klikki.fi, las versiones actuales de WordPress permiten que un atacante no autenticado, pueda inyectar JavaScript en los comentarios.  El script no se activa hasta que el comentario es visto por el administrador que ha iniciado sesión.

En la configuración por defecto, el atacante aprovecha la vulnerabilidad y puede ejecutar código arbitrario en el servidor a través de los editores de plugins y temas.  Alternativamente puede realizar cualquier tarea que pueda realizar un administrador conectado o sea podría crear usuarios, administradores, cambiar la contraseña del administrados o cualquier otra cosa.

Hasta ahora WordPress no ha publicado un patch que solucione el problema y solo resta esperar, por lo que quizás una buena precaución es moderar todos los comentarios hasta que lancen el arreglo de esta vulnerabilidad, ya que según Klikki, aparentemente el script no se ejecuta si el mensaje no se publica y solo es visto por el administrador en el panel de administración.

Actualizado: a los pocos minutos de publicar este post, WordPress lanzó la versión 4.2.1 que soluciona estas vulnerabilidades, así que lo recomendado es que actualicen a esa versión!

El siguiente vídeo muestra una prueba de concepto creada por el investigador,

Vía | Ars Technica

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →