Después de algunos errores críticos que fueron descubiertos recientemente y parcheados en el núcleo del motor de WordPress , cosa que es rara en cuanto a la seguridad relacionada con WordPress, el orden aparentemente ha sido restaurado con el descubrimiento de una vulnerabilidad crítica en un plugin popular.
Plugins inseguros han estado en el corazón de numerosos ataques lanzados desde sitios comprometidos de WordPress. Uno de ellos fue parcheado esta semana en Jetpack, un plugin que se ha descargado más de un millón de veces. Jetpack permite a los administradores de sitios web añadir características de personalización, contenido móvil, tráfico y otras herramientas de seguimiento en cuanto a rendimiento.
Investigadores de Sucuri reportaron una grave cross-site scripting (inseguridad informática) almacenada en el plugin el 10 de septiembre, que fue parcheado el lunes. Ayer, la empresa de seguridad dio a conocer detalles sobre la falla, que afectó versiones Jetpack 3.7 y anteriores.
La vulnerabilidad estuvo presente en el módulo de contactos en forma de plugin, que está activada de forma predeterminada. Si se realizan con éxito ataques contra la falla podrían exponer a los sitios utilizando el plugin para una serie de problemas que incluye una puerta trasera que permitiría a un hacker ir y venir a su antojo.
«Un atacante puede aprovechar este problema al proporcionar una dirección de correo electrónico malicioso especialmente diseñado en una de las páginas del formulario de contacto de la web,» Sucuri investigador Mac-Alexandre Montpas escribió en un aviso publicado ayer. «A medida que el correo electrónico no se verifica apropiadamente antes de que salga en el ‘Feedback’ sección administrativa, el atacante podría usar este error y un poco de hackeo en el navegador web para ejecutar un código JavaScript en el extremo del administrador, lo que les permite hacer lo que quiere con el sitio».
A diferencia reflectantes vulnerabilidades cross-site scripting, fallas XSS almacenadas son explotadas cuando el atacante pasa un código al servidor web y espera a que el usuario inicie sesión, si se trata de un abonado, autor o administrador.
«El atacante sólo tiene que esperar a que el usuario “correcto” inicie sesión, sin introducir indicadores adicionales que podrían alertar al administrador (campaña de phishing)», dijo Montpas. «A esto se suma la popularidad de un plugin como JetPack, desplegado por defecto en muchas instalaciones a través de sus anfitriones o los paquetes de instalación.»
Sucuri ha publicado detalles técnicos en su asesoramiento, pero en fin, sus investigadores encontraron una manera donde la “entrada” no fue verificada apropiadamente, dándoles la capacidad de atacar el sitio corriendo Jetpack.
Debido a la popularidad de Jetpack, los investigadores instan a los usuarios actualizar inmediatamente a una versión parcheada del plugin.
A principios de este año, un cross-site scripting diferente fue descubierto en el paquete de iconos Genericons que a veces se incluye con Jetpack y el tema TwentyFifteen WordPress.
Aunque la mayoría de los problemas de seguridad relacionados con WordPress y otros sistemas de gestión de contenidos están relacionados plugin, el mes pasado WordPress lanzó la versión 4.3.1 en la que parcheo tres vulnerabilidades, la más grave de las cuales se encontraron en los códigos cortos cuentan etiquetas, HTML que permiten a los desarrolladores de sitios a incrustar macros en códigos.
Fuente: ThreatPost