Si la semana pasada os hablábamos de una vulnerabilidad que afectaba a WordPress SEO by Yoast en esta ocasión es el complemento Google Analytics el que posee vulnerabilidades importantes. Propiedad del mismo desarrollador, expertos en seguridad han detectado que este es susceptible a sufrir ataques XSS, permitiendo que una tercera persona pueda ejecutar de forma remota código PHP en el servidor.
La ejecución de código en el lado sel servidor siempre resulta peligroso, y en esta ocasión no es una excepción, ya que permitiría por ejemplo la contraseña del administrador de la página, crear nuevos perfiles de usuarios con permisos totales o cualquier otras acción que podamos imaginar.
El ataque se puede realizar de forma satisfactoria siempre que exista en el sistema un usuario que esté en ese mismo momento logueado en el panel de control. Al igual que ocurrió con el anterior complemento, la reputación es un problema ya que el número de usuarios que posee una versión afectada por el problema asciende a más de un millón de sitios web.
La falta de una actualización para Google Analytics se puede convertir en un problema
Hasta este momento no existe ningún reporte relacionado con este error, indicando que por el momento no existe una utilización por parte de los ciberdelincuentes, o al menos de forma masiva. La urgencia de una actualización es evidente y varios investigadores confían en una oleada de robos de perfiles de usuario de WordPress si no se consigue un parche.
En lo referido a qué versión está afectada, se ha determinado que las versiones 5.2 y 5.3 están afectados, por lo tanto las anteriores es casi seguro que también lo estén. Sin embargo, la publicación de la 5.3.3 permite a los usuarios resolver el problema, instando a actualizar para evitar problemas de seguridad derivados de estos, ya que a día de hoy ya se han localizado manuales en diversos foros donde se explica cómo explotar la vulnerabilidad de forma correcta.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad