El plugin Google Analytics de Yoast para WordPress también es vulnerable a ataques XSS

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Si la semana pasada os hablábamos de una vulnerabilidad que afectaba a WordPress SEO by Yoast en esta ocasión es el complemento Google Analytics el que posee vulnerabilidades importantes. Propiedad del mismo desarrollador, expertos en seguridad han detectado que este es susceptible a sufrir ataques XSS, permitiendo que una tercera persona pueda ejecutar de forma remota código PHP en el servidor.

La ejecución de código en el lado sel servidor siempre resulta peligroso, y en esta ocasión no es una excepción, ya que permitiría por ejemplo la contraseña del administrador de la página, crear nuevos perfiles de usuarios con permisos totales o cualquier otras acción que podamos imaginar.

plugin Yoast para WordPress también es vulnerable a ataques XSS
plugin Yoast para WordPress también es vulnerable a ataques XSS

El ataque se puede realizar de forma satisfactoria siempre que exista en el sistema un usuario que esté en ese mismo momento logueado en el panel de control. Al igual que ocurrió con el anterior complemento, la reputación es un problema ya que el número de usuarios que posee una versión afectada por el problema asciende a más de un millón de sitios web.

La falta de una actualización para Google Analytics se puede convertir en un problema

Hasta este momento no existe ningún reporte relacionado con este error, indicando que por el momento no existe una utilización por parte de los ciberdelincuentes, o al menos de forma masiva. La urgencia de una actualización es evidente y varios investigadores confían en una oleada de robos de perfiles de usuario de WordPress si no se consigue un parche.

En lo referido a qué versión está afectada, se ha determinado que las versiones 5.2 y 5.3 están afectados, por lo tanto las anteriores es casi seguro que también lo estén. Sin embargo, la publicación de la 5.3.3 permite a los usuarios resolver el problema, instando a actualizar para evitar problemas de seguridad derivados de estos, ya que a día de hoy ya se han localizado manuales en diversos foros donde se explica cómo explotar la vulnerabilidad de forma correcta.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Add a Comment