Los desarrolladores de Automattic, la compañía responsable del mantenimiento de WordPress, anunció la instalación forzosa de una actualización de seguridad en más de cinco millones de sitios web debido al hallazgo de una peligrosa vulnerabilidad en Jetpack, uno de los plugins más populares para este sistema de gestión de contenido (CMS).
Jetpack proporciona a los sitios en WordPress funciones gratuitas de seguridad, rendimiento y administración de sitios web, permitiendo a los administradores instalar mecanismos de protección contra ataques de fuerza bruta, habilitar copias de seguridad del sitio y activar inicios de sesión seguros y escaneo anti malware.
Acorde al reporte, la falla reside en la función Carousel y su opción para mostrar comentarios para cada imagen. Por el momento no se conocen mayores detalles sobre la falla y su proceso de explotación, ya que es prioridad de Automattic finalizar con la instalación de las actualizaciones correspondientes antes de que los actores de amenazas traten de abusar de esta falla.
Los desarrolladores mencionan que el error afecta a todas las versiones, comenzando con el lanzamiento de Jetpack 2.0 en noviembre de 2012. En la alerta de seguridad también se menciona que se hasta el momento no se ha encontrado evidencia de que la vulnerabilidad haya sido explotada en escenarios reales: “Aún así, con el lanzamiento de la actualización podría ser cuestión de tiempo para que algún actor de amenazas trate de explotar esta falla.”
A continuación se muestra una captura de pantalla del código en el parche lanzado por Automattic:
La compañía realizó una instalación forzosa de la versión corregida en prácticamente todos los sitios web que ejecutan alguna versión vulnerable del plugin, para lo cual contaron con la ayuda del equipo de seguridad de WordPress: “La gran mayoría de los sitios web ahora ejecutan una versión segura de Jetpack”, agrega el comunicado.
Esta no es la primera vez que Automattic debe recurrir a una actualización forzosa para prevenir la explotación de una falla crítica en algún plugin popular. Andrew Nacin, desarrollador líder de WordPress, menciona que esta medida ha sido implementada al menos en 5 ocasiones anteriores. Por otra parte Samuel Wood, otro desarrollador de WordPress, mencionó hace unos meses que Automattic usó la función de actualizaciones de seguridad forzadas para impulsar algunos lanzamientos de seguridad de plugins de forma continua desde el lanzamiento de WordPress 3.7.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
