Saltar al contenido
Closer Marketing

La vulnerabilidad en el complemento para la optimización automática de WordPress afecta a +1 millón de sitios web


El complemento de optimización de WordPress Autoptimize se actualizó recientemente para abordar una vulnerabilidad XSS guardada. Se recomienda a los editores que utilicen el complemento que lo actualicen de inmediato para reducir la posibilidad de un evento de piratería.

Vulnerabilidad XSS guardada

Existe una vulnerabilidad de secuencia de comandos almacenada entre sitios (XSS) cuando el software contiene un error que permite a un pirata informático cargar un archivo malicioso que luego puede atacar a otras personas que visitan el sitio.

Hay varios tipos de vulnerabilidades XSS almacenadas y no está claro de qué tipo son.

Dependiendo de dónde se cargue el archivo malicioso, este tipo de vulnerabilidad puede ser particularmente problemático si alguien con privilegios administrativos visita el sitio y recibe la carga útil, lo que puede llevar a una toma de control completa del sitio.

publicidad

Sigue leyendo a continuación

Según el Instituto Nacional de Estándares y Tecnología del gobierno de EE. UU., Un sitio web del Departamento de Comercio de EE. UU., Un exploit de scripting entre sitios se define de la siguiente manera:

“Una vulnerabilidad que permite a los atacantes inyectar código malicioso en un sitio web que de otro modo sería inofensivo.

Estos scripts obtienen los permisos de los scripts generados por el sitio web de destino y, por lo tanto, pueden comprometer la confidencialidad e integridad de la transferencia de datos entre el sitio web y el cliente.

Los sitios web son vulnerables si muestran datos proporcionados por el usuario de solicitudes o formularios sin limpiar los datos para que no sean ejecutables. «

Esto se conoce como vulnerabilidad XSS «almacenada» porque el archivo malicioso se almacena en el sitio web. De los diferentes tipos de XSS

publicidad

Sigue leyendo a continuación

Evaluación de vulnerabilidad

Las vulnerabilidades se evalúan utilizando un estándar de código abierto llamado Common Vulnerability Scoring System (CVSS). Una puntuación de vulnerabilidad generalmente se conoce como CVSS versión 3.1.

Así es como se describe el estándar de vulnerabilidad:

“El Common Vulnerability Scoring System (CVSS) es un marco abierto para comunicar las características y la gravedad de las vulnerabilidades del software. «

La vulnerabilidad que afecta a Autoptimize se conoce como una vulnerabilidad XSS almacenada autenticada. Esto significa que un pirata informático debe iniciar sesión en el sitio para aprovechar el error.

Esta puede ser una de las razones por las que la vulnerabilidad de optimización automática del complemento de WordPress se calificó como media en 5.4 en una escala de 1 a 10.

Optimice automáticamente el registro de cambios

Un registro de cambios es un registro de todos los cambios que realiza un software con cada actualización. Normalmente se indica una versión, a veces la fecha de la versión y los cambios incluidos en la actualización.

Según el registro de cambios oficial de Autoptimize, la última versión es 2.8.4, que corrige la vulnerabilidad.

2.8.4
Abordar una vulnerabilidad XSS autenticada «

Si bien se trata de una vulnerabilidad moderada, se recomienda que todos los editores que utilicen este complemento lo actualicen de inmediato para mantenerlo seguro.

Citas

Documentación de la vulnerabilidad para la optimización automática en la página de seguridad de la pila de parches

Registro de cambios oficial de Autangel



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *