Connect with us

Hackers

WordPress 4.2 es vulnerable a 2 exploits peligrosos del tipo XSS Almacenado/Persistente

Published

on


xss-atack-wordpress-4-2

La semana pasada, un día antes de que lanzarán la última versión WordPress 4.2, Automattic lanzó la versión 4.1.2 con un arreglo de una grave falla de seguridad y ahora, a pocos días de haberse lanzado la última versión, reportan dos nuevas vulnerabilidades similares, del tipo XSS (Cross-site scripting) almacenado, la cual permite a un atacante inyectar JavaScript.

De acuerdo a lo reportado por el investigador en seguridad informática Klikki oy, las versiones actuales de WordPress permiten que un atacante no autenticado, pueda inyectar JavaScript en los comentarios.  El script no se activa hasta que el comentario es visto por el administrador que ha iniciado sesión.

En la configuración por defecto, el atacante aprovecha la vulnerabilidad y puede ejecutar código arbitrario en el servidor a través de los editores de plugins y temas.  Alternativamente puede realizar cualquier tarea que pueda realizar un administrador conectado o sea podría crear usuarios, administradores, cambiar la contraseña del administrados o cualquier otra cosa.

Hasta ahora WordPress no ha publicado un patch que solucione el problema y solo resta esperar, por lo que quizás una buena precaución es moderar todos los comentarios hasta que lancen el arreglo de esta vulnerabilidad, ya que según Klikki, aparentemente el script no se ejecuta si el mensaje no se publica y solo es visto por el administrador en el panel de administración.

El siguiente vídeo muestra una prueba de concepto creada por el investigador,


Periodista, professor y fanático de la tecnología, los negocios 2.0, el mkt, y la música electrónica. Editor de los portales onedigital.info y pcformat.info http://www.onedigital.info

Recupera los datos perdidos de tu Mac
A %d blogueros les gusta esto: