Ad Inserter, un plugin para WordPress, permite ejecución de código remoto

Expertos en análisis de vulnerabilidades descubrieron una falla crítica en Ad Inserter, un plugin para el manejo de publicidad en sitios de WordPress. De ser explotada, esta falla permitiría que cualquier usuario con privilegios mínimos ejecute código en el servidor web comprometido.

Después de comprobarse la presencia de esta falla, múltiples miembros de la comunidad de la ciberseguridad recomendaron a los administradores de sistemas que usan este plugin actualizar a la versión más reciente a la brevedad.

En realidad, el reporte describe dos vulnerabilidades. La primera de estas fallas fue definida por los especialistas como un “exploit de ruta de acceso autenticada” presente en las versiones 2.4.19 y anteriores de Ad Inserter. Esta falla permite a los hackers acceder a sectores específicos en un sitio web realizando algunas modificaciones mínimas en la URL, lo que brinda acceso a información confidencial o la capacidad de ejecutar código.

La segunda vulnerabilidad, encontrada por expertos en análisis de vulnerabilidades de la firma de seguridad WordFence, es una falla crítica que los desarrolladores del plugin tuvieron que corregir inmediatamente después de recibir la alerta de seguridad. Se trata de una falla de ejecución remota de código autenticado; al ser explotada, permite que un usuario con privilegios mínimos (incluso suscriptores a un sitio de WordPress) pueda ejecutar código arbitrario en cualquier implementación de este sistema de manejo de contenido. Esta falla afecta a las versiones 2.4.21 y anteriores del plugin.

Los expertos en análisis de vulnerabilidades mencionan que es muy común encontrar esta clase de errores en un plugin de WordPress, aunque en ocasiones las compañías no actúan acorde a la seriedad de estos incidentes; en este caso, los desarrolladores de Ad Inserter actuaron eficazmente al recibir los reportes de errores, reconociendo a los encargados de descubrir las fallas y corrigiéndolas lo más pronto posible.  

Además de reconocer las fallas de seguridad, Ad Inserter alertó a todos sus usuarios sobre la situación, una medida de seguridad básica en el proceso de corrección de vulnerabilidades y mitigación de riesgos, mencionan especialistas del Instituto Internacional de Seguridad Cibernética (IICS).

Es importante que todos los administradores de implementaciones de WordPress que usan este plugin instalen su versión más reciente para mantenerse a salvo de la explotación de esta falla.

(Visitado 1116 veces)