Page Builder, complemento de WordPress desarrollado por SiteOrigin, es afectado por algunas vulnerabilidades de seguridad que, acorde a los expertos de un curso de ciberseguridad, exponen los sitios web afectados a ataque de ejecución de código.
Este plugin fue desarrollado por Greg Priday y sirve para la creación de contenido para móviles con herramientas de arrastrar y soltar muy fáciles de usar. Los desarrolladores afirman que este software se encuentra activo en más de un millón de sitios web.
Las vulnerabilidades fueron reportadas por el equipo de expertos de un curso de ciberseguridad de Wordfence Threat Intelligence hace una semana. El reporte consiste en dos fallas detectadas en el plugin, las cuales permitirían a un actor de amenazas lanzar solicitudes fraudulentas en nombre de un administrador de sitio web para ejecutar código malicioso en el navegador. La explotación requiere que la víctima haga clic en un enlace malicioso para comenzar el ataque.
Las vulnerabilidades reportadas aún no han recibido una clave de identificación del Common Vulnerability Scoring System (CVSS), aunque los investigadores prevén que se les considerará como fallas críticas. El primero de estos errores es una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF), mientras que el segundo error es una vulnerabilidad de scripts entre sitios (XSS).
El editor en vivo es empleado para la creación y actualización de contenido en las publicaciones, además para arrastrar y soltar widgets. Los cambios realizados en el contenido son enviados mediante el parámetro POST y se realizan verificaciones en las funciones de metadatos para asegurarse de que los usuarios cuenten con los permisos requeridos para la edición de las publicaciones.
Debido a esto, algunos widgets que incluyen HTML personalizado podrían ser abusados para la inyección de JavaScript malicioso en una página activa renderizada, mencionan los expertos de un curso de ciberseguridad. Si un administrador accede a una página de vista previa en vivo que contiene este widget comprometido, podría desencadenarse la explotación de ambas vulnerabilidades.
Los expertos también encontraron una falla adicional de falsificación de solicitudes entre sitios en la función action_builder_content del plugin, conectado a la acción AJAX wp_ajax_so_panels_builder_content.
Esta función es empleada para transmitir contenido enviado desde el editor en vivo al director estándar de WordPress para actualizar o publicar contenido. A pesar de que las verificaciones de permisos son establecidas para garantizar que los usuarios tengan los permisos requeridos para post_id, no existe validación de origen de la solicitud, lo que conduce a la falla CSFR.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
