domingo, 12 de abril de 2015

Falla en complemento de caché de WordPress podría afectar a más de 1 millón de sitios


Un investigador encontró que los atacantes podrían explotar la vulnerabilidad para inyectar código malicioso en las páginas de administración de WP Super Cache.

Una vulnerabilidad en el popular complemento WP Super Cache para WordPress podría permitir a los atacantes inyectar scripts maliciosos en los sitios web. Los scripts, al ser cargados por administradores, podrían originar acciones no autorizadas.
Los sitios web de WordPress son un objetivo popular para los atacantes y muchos de ellos están comprometidos debido a vulnerabilidades en sus complementos (plugins). Apenas el jueves, el FBI advirtió que unos atacantes, solidarios con el grupo extremista ISIS, también conocido como ISIL, habíanaccedido ilegalmente y modificado varios sitios web explotando vulnerabilidades conocidas en los complementos de WordPress.
El error persistente de cross-site scripting (XSS) en WP Super Cache puede ser explotado al enviar una consulta específicamente diseñada a un sitio web de Wordpress con el complemento instalado, de acuerdo con Marc-Alexandre Montpas, investigador senior de vulnerabilidades en la firma de seguridad web Sucuri.
El ataque podría ser usado para inyectar scripts maliciosos en una página que liste los archivos almacenados por el complemento y que sólo es accesible por los administradores. Como tal, para que el código malicioso sea ejecutado, la página debe ser vista por un administrador.
"Al ser ejecutados, los scripts inyectados pueden utilizarse para realizar muchas otras cosas, como agregar una nueva cuenta de administrador al sitio, inyectar puertas traseras utilizando herramientas de edición de temas de WordPress, etc." dijo Montpas, quien encontró la vulnerabilidad, el jueves en unaentrada de blog.
WP Super Cache se puede usar para optimizar sitios de WordPress al convertir páginas generadas dinámicamente en archivos HTML estáticos que después son proporcionados a los visitantes. Esto puede ser de gran utilidad para sitios web que reciben una gran cantidad de tráfico, ya que reduce el consumo de recursos y ancho de banda del servidor.
Sin embargo, reemplazar páginas generadas en PHP con copias estáticas almacenadas tiene sus desventajas. La mayor de ellas es que cada vez que se modifica una página, el archivo almacenado correspondiente debe ser regenerado.





No hay comentarios:

Publicar un comentario