6 plugins vulnerables de WordPress; elimínelos de inmediato si no hay actualización disponible

Jenkins, el servidor de automatización de código abierto, ha publicado una alerta de seguridad referente a una serie de vulnerabilidades encontradas en algunos de los plugins más populares tanto en WordPress como en el propio Jenkins Project. La alerta de seguridad informática también hace referencia a las correcciones ya disponibles para estas fallas críticas.

Algunos de los plugins afectados cuentan con hasta 25 mil instalaciones activas, según reporta Wadeck Follonier, de Jenkins Project. Los plugins afectados incluyen:

  • Jenkins Amazon EC2
  • Gitlab Hook
  • Health Advisor, by CloudBees
  • Redgate SQL Change Automation
  • Robot Framework
  • Sounds Plugin

“Cualquier versión de estos plugins se considerará afectada por las vulnerabilidades detectadas, a menos de que en adelante se especifique lo contrario”, menciona la alerta de seguridad informática, publicada este 15 de enero. “Se recomienda a los usuarios de estos plugins actualizar a la última versión disponible para mitigar el riesgo de explotación”.

En cuanto a las vulnerabilidades, éstas varían en cuanto a su tipo y gravedad. Uno de los reportes más notables se refiere a una falla de entidad externa XML (XXE) en Robot Framework Plugin, una herramienta para la automatización de procesos con casi 10 mil instalaciones activas. De ser explotada, esta vulnerabilidad permitiría a un actor de amenazas falsificar solicitudes del lado del servidor o incluso lanzar ataques de denegación de servicio (DoS). La falla fue identificada como CVE-2020-2092, y es considerada de seriedad crítica.

“Trataremos de corregir todas las vulnerabilidades encontradas a la brevedad”, menciona el mensaje publicado en el sitio web de Jenkins. No obstante, especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) aseguran que, debido a la estructura de Jenkins Project, basado en la autonomía de los desarrolladores y la gran cantidad de plugins, esta es una tarea que demorará demasiado tiempo, sin mencionar la posible aparición de nuevas vulnerabilidades.

Para este proceso de corrección, si se detecta que un plugin es vulnerable, Jenkins Project contacta a sus mantenedores y solicita una corrección. En caso de que no existan soluciones disponibles, se publica una alerta de seguridad informática y se informa sobre posibles soluciones alternativas. En caso de que la vulnerabilidad sea de gravedad altamente seria, el plugin es eliminado de Jenkins Project. La lista completa de vulnerabilidades encontradas se encuentra en el sitio oficial de Jenkins.