馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Vulnerabilidad XSS encontrada en el plugin WP Statistics de WordPress

Una grave vulnerabilidad de cross-site scripting (XSS) podr铆a haber afectado a miles de sitios web.聽La聽vulnerabilidad XSS estaba presente en el plugin WP Statistics de WordPress.聽Un potencial atacante podr铆a tomar el control completo de un sitio web al explotar la falla en circunstancias espec铆ficas.

Vulnerabilidad XSS en WP Statistics

Los investigadores de Sucuri han encontrado un grave fallo de seguridad de XSS en el plugin WP Statistics de WordPress. La falla podr铆a permitir a un atacante tomar el control de un sitio web bajo ciertas condiciones.

Como indicaron en una聽publicaci贸n en su blog, la vulnerabilidad exist铆a en la forma en que un sitio web que utiliza el plugin detecta la direcci贸n IP de un visitante.聽En particular, para los sitios web que usan un firewall, un atacante puede aprovechar esta vulnerabilidad.

Como lo explican los investigadores, con las configuraciones predeterminadas, la direcci贸n IP de un visitante pasa a trav茅s del firewall al sitio web.聽En esta etapa, el firewall puede comportarse de varias maneras para pasar la direcci贸n IP del visitante al sitio web.

La direcci贸n IP pasada puede permanecer ‘como est谩’, modificada por el firewall, o el firewall puede modificar la direcci贸n IP, pero retener la direcci贸n IP original en el encabezado sin modificaciones.

En este 煤ltimo caso, un atacante puede enviar deliberadamente una direcci贸n IP maliciosa debido a la falla en el plugin.聽Seg煤n lo declarado por los investigadores,

La vulnerabilidad del plugin se basa en el escenario en el que no limpia ni valida la IP del usuario.

Sin embargo, un exploit exitoso tambi茅n depende de la configuraci贸n del plugin.

La vulnerabilidad solo puede explotarse cuando el plugin utiliza un encabezado para identificar la direcci贸n IP del visitante.

La configuraci贸n del firewall tambi茅n debe favorecer uno de los dos requisitos para una explotaci贸n exitosa.

Una de las siguientes dos condiciones tambi茅n debe cumplirse para el exploit: El firewall debe ser聽omitible.聽O El firewall debe dejar el encabezado como est谩, si existe.

Los desarrolladores ya parchearon la falla

Despu茅s de que los investigadores descubrieron la vulnerabilidad, se contactaron con los desarrolladores el 26 de junio de 2019. Luego, tras su comunicaci贸n, los desarrolladores publicaron una soluci贸n con la versi贸n actualizada del plugin el 1 de julio de 2019.

La vulnerabilidad afect贸 al plugin WP Statistics anterior a聽las versiones 12.6.7.聽Los usuarios de este plugin deben asegurarse de mantener sus sitios web actualizados con la 煤ltima versi贸n del complemento (12.6.7) para mantenerse protegidos de posibles vulnerabilidades.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n