🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Fallo en plugin para WordPress permite a un atacante tomar control del sitio web

Un fallo descubierto en un plugin para insertar botones de redes sociales en sitios de WordPress permitiría a un atacante tomar posesión de sitios que lo utilicen

Esta semana revelaron la existencia de una vulnerabilidad en un conocido plugin para WordPress llamado Simple Social Buttons, el cual permitiría a un atacante tomar control de un sitio que lo tenga instalado.

Simple Social Buttons es un complemento que permite añadir botones de Facebook, Twitter, WhatsApp, LinkledIn y otras redes sociales en distintas partes de un sitio para que los usuarios puedan compartir a través de las distintas plataformas sociales el contenido publicado. La herramienta, que registra más de 40.000 instalaciones activas, ya cuenta con una versión actualizada (2.0.22) que repara el fallo, por lo que se recomienda a todos aquellos que tengan instalado el plugin que lo actualicen a la última versión lo antes posible.

El bug, descubierto por WebARX, afectaba a las versiones que van desde la 2.0.4 hasta la anterior a la 2.0.22, que es en la que se introdujo el parche de seguridad.

De acuerdo a la descripción que hicieron los especialistas detrás del hallazgo, el fallo consiste en un error de flujo de diseño inapropiado asociado a falta de revisión de permisos. Como consecuencia, el error permite a un potencial atacante escalar privilegios y realizar acciones para las cuales no está autorizado, como hacer modificaciones en la configuración principal del sitio de WordPress. De esta manera, al poder realizar estos cambios un atacante tomar control de un sitio mediante la instalación de backdoors.

En un video publicado por los investigadores que reportaron el fallo, se puede ver lo peligroso del bug al permitir cambiar la dirección de correo asociada a la cuenta de administrador del sitio.

Video – Explotando el fallo de Simple Social Buttons:
[ms-protect-content id=”489,503″]

[/ms-protect-content]

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información