Saltar al contenido
Closer Marketing

La vulnerabilidad en el complemento de biblioteca de plantillas de WordPress Gutenberg afecta a +1 millón de sitios


Se descubrieron dos vulnerabilidades en un complemento de la biblioteca de plantillas de WordPress Gutenberg de terceros con más de un millón de clientes. La explotación exitosa de estas inseguridades podría allanar un camino indirecto hacia una toma de control completa del sitio.

El complemento de WordPress Gutenberg Template Library & Redux Framework se descubrió por la compañía de seguridad de WordPress WordFence como vulnerable a dos asaltos específicos.

Biblioteca de plantillas de Gutenberg y complemento de WordPress de Redux Framework

Este complemento es una biblioteca de bloques de WordPress Gutenberg que deja a los editores crear websites de forma fácil utilizando los bloques de construcción prefabricados al crear un portal de internet con el diseño de Gutenberg.

Según la descripción oficial del complemento:

«Cree de forma rápida páginas enteras en Gutenberg de WordPress

Cargue el editor de Gutenberg con nuestra biblioteca en incesante desarrollo de bloques y plantillas de WordPress. Descubra lo que es posible e implemente cualquier diseño en su sitio web en un tiempo reducido «.

propaganda

Lee abajo

API REST de WordPress

Entre las inseguridades emplea una plataforma de trabajo de código menos segura con la Interfaz de programación de aplicaciones REST de WordPress. La Interfaz de programación de aplicaciones REST es una función que deja a los complementos estar comunicado con el CMS y realizar cambios dentro del sitio web.

La página del desarrollador de la Interfaz de programación de aplicaciones REST de WordPress lo detalla de la próxima manera:

“La Interfaz de programación de aplicaciones REST de WordPress da una plataforma de trabajo para que las apps interaccionen con su sitio de WordPress mandando y recibiendo datos como objetos JavaScript Object Notation (JSON).

Es la base del Editor de bloques de WordPress y asimismo puede permitir que su tema, complemento o aplicación personalizada dé nuevas interfaces potentes para dirigir y divulgar el contenido de su ubicación.

… lo más esencial de la Interfaz de programación de aplicaciones es que activa el editor de bloques y las interfaces de complementos modernos sin comprometer la seguridad o privacidad de su cibersitio «.

propaganda

Lee abajo

Técnicamente, la Interfaz de programación de aplicaciones REST de WordPress no plantea un problema de seguridad si los codificadores de complementos incorporan de manera segura una plataforma de trabajo de complemento.

Brechas de seguridad en la biblioteca de plantillas de Gutenberg y en el marco de Redux

Hay dos puntos enclenques. Ninguna de estas vulnerabilidades dejaría a un agresor hacerse cargo de un portal de internet.

Sin embargo, las inseguridades dejan a los atacantes efectuar una sucesión de cambios que podrían conducir a una toma de control completa del página web.

La primera puerta de inseguridad deja a un agresor con privilegios a nivel de colaborador o autor instalar cualquier complemento vulnerable que esté en el repositorio de WordPress y desde allí explotar estas vulnerabilidades para llevar a cabo un ataque.

WordFence detalla la segunda vulnerabilidad como divulgación no autenticada de información confidencial.

La palabra «no autenticado» significa que el agresor no requiere iniciar sesión en el ubicación de WordPress para hacer el ataque.

Esta puerta de inseguridad particularmente logró viable que un agresor consiguiera información confidencial a través del sitio de WordPress. Esto deja al agresor identificar complementos vulnerables que pueden explotarse.

Según WordFence:

«Esta acción $ support_hash AJAX, que también se encontraba disponible para individuos no autenticados, llamó a la función support_args en redux-core / inc / classes / class-redux-helpers.php, que potencialmente tiene dentro información sensible como la versión PHP, complementos activos. devolvió el ubicación y sus versiones, tal como un hash md5 sin sal de los sitios AUTH_KEY y SECURE_AUTH_KEY.

Esto sería particularmente útil si se instalara un complemento independiente con una puerta de inseguridad agregada, en tanto que un agresor podría usar la información para ahorrar tiempo y planificar una intrusión «.

propaganda

Lee abajo

Se anima a los clientes a actualizar sus complementos

WordFence animó encarecidamente a todos los clientes del complemento a actualizar cuando menos a la versión 4.2.13 del complemento de WordPress de la biblioteca de plantillas de Gutenberg y el marco de Redux.

Cita

Leer el aviso de WordFence
Mucho más de 1 millón de sitios web afectados por vulnerabilidades en la biblioteca de plantillas de Gutenberg y el marco de Redux



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *