Vulnerabilidad XSS encontrada en el plugin WP Statistics de WordPress
Una grave vulnerabilidad de cross-site scripting (XSS) podría haber afectado a miles de sitios web. La vulnerabilidad XSS estaba presente en el plugin WP Statistics de WordPress. Un potencial atacante podría tomar el control completo de un sitio web al explotar la falla en circunstancias específicas.
Vulnerabilidad XSS en WP Statistics
Los investigadores de Sucuri han encontrado un grave fallo de seguridad de XSS en el plugin WP Statistics de WordPress. La falla podría permitir a un atacante tomar el control de un sitio web bajo ciertas condiciones.
Como indicaron en una publicación en su blog, la vulnerabilidad existía en la forma en que un sitio web que utiliza el plugin detecta la dirección IP de un visitante. En particular, para los sitios web que usan un firewall, un atacante puede aprovechar esta vulnerabilidad.
Como lo explican los investigadores, con las configuraciones predeterminadas, la dirección IP de un visitante pasa a través del firewall al sitio web. En esta etapa, el firewall puede comportarse de varias maneras para pasar la dirección IP del visitante al sitio web.
La dirección IP pasada puede permanecer ‘como está’, modificada por el firewall, o el firewall puede modificar la dirección IP, pero retener la dirección IP original en el encabezado sin modificaciones.
En este último caso, un atacante puede enviar deliberadamente una dirección IP maliciosa debido a la falla en el plugin. Según lo declarado por los investigadores,
La vulnerabilidad del plugin se basa en el escenario en el que no limpia ni valida la IP del usuario.
Sin embargo, un exploit exitoso también depende de la configuración del plugin.
La vulnerabilidad solo puede explotarse cuando el plugin utiliza un encabezado para identificar la dirección IP del visitante.
La configuración del firewall también debe favorecer uno de los dos requisitos para una explotación exitosa.
Una de las siguientes dos condiciones también debe cumplirse para el exploit: El firewall debe ser omitible. O El firewall debe dejar el encabezado como está, si existe.
Los desarrolladores ya parchearon la falla
Después de que los investigadores descubrieron la vulnerabilidad, se contactaron con los desarrolladores el 26 de junio de 2019. Luego, tras su comunicación, los desarrolladores publicaron una solución con la versión actualizada del plugin el 1 de julio de 2019.
La vulnerabilidad afectó al plugin WP Statistics anterior a las versiones 12.6.7. Los usuarios de este plugin deben asegurarse de mantener sus sitios web actualizados con la última versión del complemento (12.6.7) para mantenerse protegidos de posibles vulnerabilidades.