Saltar al contenido
Closer Marketing

Puerta de inseguridad de seguridad del complemento WordPress SEOPress


Wordfence, una compañía de software de seguridad de WordPress, ha anunciado detalles de una vulnerabilidad en el popular programa SEO de WordPress SEOPress. Antes del anuncio, WordFence compartió los detalles de la vulnerabilidad con los editores de SEOPress, quienes instantaneamente solucionaron el problema y lanzaron un parche para solventarlo.

Según WordFence:

«Este error permitió a un agresor inyectar scripts web arbitrarios en un sitio web vulnerable que se ejecutaría cada vez que un usuario ingresa a la página Todas y cada una de las publicaciones».

El sitio de la Banco de información de vulnerabilidad nacional del gobierno de EE. UU. Contó la calificación de la CNA (Autoridad de numeración CVE) proporcionada por Wordfence para la puerta de inseguridad de SEOPress como una calificación media y una puntuación de 6,4 en una escala de 1 a 10.

propaganda

Lee abajo

La lista de inseguridades se clasifica como:

«Neutralización inadecuada de las entradas durante la creación del cibersitio (» secuencias de comandos entre sitios «)»

La puerta de inseguridad afecta a las versiones 5.0.0 – 5.0.3 de SEOPress.

¿Qué es la puerta de inseguridad SEOPress?

El registro de cambios oficial de SEOPress de todos modos no describió la vulnerabilidad ni reveló que existe una puerta de inseguridad de seguridad.

Esto no es una crítica de SEOPress, solo noto que SEOPress ha descrito de forma vaga el inconveniente:

«INFO Fortalecimiento de la seguridad (gracias a Wordfence)»

Atrapa de pantalla del registro de cambios de SEOPress

El inconveniente que perjudica a SEOPress deja a cualquiera de los individuos autenticado que solo tenga credenciales de suscriptor actualizar el título y la descripción de cada publicación. Ya que esta entrada no era segura, puesto que no se encontraba adecuadamente desinfectada para scripts y otras cargas no intencionales, un atacante podría cargar scripts maliciosos que entonces podrían usarse como una parte de un ataque de scripts entre sitios.

propaganda

Lee abajo

Si bien la banco de información nacional de vulnerabilidades ha calificado esta puerta de inseguridad como media (probablemente porque la puerta de inseguridad perjudica a websites que permiten registros de individuos como suscriptores), WordFence advierte que un agresor podría «fácilmente» apoderarse de un portal de internet vulnerable en las circunstancias enumeradas.

WordFence ha dicho esto sobre la vulnerabilidad Cross Site Scripting (XSS):

«… Las inseguridades de secuencias de comandos entre sitios como esta pueden conducir a una pluralidad de acciones maliciosas como la creación de una nueva cuenta de gestor, inyección de webshell, redireccionamientos arbitrarios y mucho más».

Los vectores de ataque de puerta de inseguridad de Cross Site Scripting (XSS) generalmente están en áreas donde alguien puede entrar datos. Cualquier sitio donde alguien pueda entrar información, como en un formulario de contacto, es una fuente potencial de una vulnerabilidad de seguridad XSS.

Los programadores de programa deberían «adecentar» las entradas, o sea, deberían revisar que las entradas no son nada inesperado.

Entrada de API REST insegura

Esta puerta de inseguridad particular se refería a la entrada con relación a la entrada del título y la descripción de un artículo. Particularmente, se refería a la llamada API REST de WordPress.

La API REST de WordPress es una interfaz que deja que los complementos de WordPress interaccionen con WordPress.

Utilizando la Interfaz de programación de aplicaciones REST, un complemento puede interactuar con un lugar de WordPress y cambiar las páginas.

La documentación de WordPress lo detalla de este modo:

«Con la API REST de WordPress, puede crear un complemento para proporcionar una experiencia de administración absolutamente novedosa para WordPress, hacer una exclusiva experiencia usable de plataforma de trabajo de usuario o llevar su contenido de WordPress a apps completamente separadas».

propaganda

Lee abajo

Según WordFence, el punto y final de la Interfaz de programación de aplicaciones REST de SEOPress WordPress se implementó de manera insegura por el hecho de que el complemento no limpió apropiadamente las entradas por medio de este procedimiento.

Citas

Anuncio de la puerta de inseguridad de WordFence SEOPress

Entrada en la base de datos nacional de inseguridades sobre el tema de secuencias de comandos de sitios cruzados almacenados en SEOPress

Manual de la Interfaz de programación de aplicaciones REST de WordPress



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *