Vulnerabilidad grave en WordPress
Leo en diferentes sitios de Internet, que la compañía de Tecnología Finlandesa Klikki Oy ha localizado una vulnerabilidad grave en WordPress. Afecta los sitios creados sobre la versión 3 del famosos gestor de contenidos o CMS. Se calcula que el 86 % de los sitios están afectados.
Para aprovechar dicha vulnerabilidad el atacante utiliza un campo de entrada de texto, cómo en el formulario de comentarios sin autentificar, que está activiado de forma predeterminada.
La versión 3 fue lanzada en 2010, la versión 4 no lleva dicho bug. Durante cuatro años el bug ha acompañado a WordPress sin corregirse.
¿Cómo funciona?
El atacante puede aprovechar dicho bug, introduciendo un comentario de texto, en este caso un JavaScript malicioso. Dicho código se ejecutará cuando el administrador de la web o blog se digne a leerlo. De ésta manera el código podría ejecutar tareas administrativas en nuestro WordPress.
Por ejemplo podría crear una nueva cuenta de administrador, el cambio de contraseña del administrador actual e incluso la ejecución del código PHP suministrador por el atacante en nuestro servidor. Llegando incluso a permitir el acceso del atacante del servidor de hosting.
¿Qué hacer?
WordPress ya ha suministrado los parches de seguridad necesarios para dichas versiones. De hecho, el famoso plugin Akismet, ya filtra los comentarios que pudiesen contener dicho código malicioso.
Para obtener más información: