La base de datos nacional de vulnerabilidades anunció que se descubrió que un popular complemento de WordPress de Google Analytics instalado en más de 3 millones contenía una vulnerabilidad de secuencias de comandos entre sitios almacenadas (XSS).
XSS almacenado
Un ataque Cross-Site Scripting (XSS) generalmente ocurre cuando una parte del sitio web que acepta la entrada del usuario es insegura y permite entradas no anticipadas, como secuencias de comandos o enlaces.
La vulnerabilidad XSS se puede aprovechar para obtener acceso no autorizado a un sitio web y puede provocar el robo de datos del usuario o la toma completa del sitio.
El Open Worldwide Application Security Project (OWASP) sin fines de lucro describe cómo funciona la vulnerabilidad XSS:
“Un atacante puede usar XSS para enviar un script malicioso a un usuario desprevenido. El navegador del usuario final no tiene forma de saber que no se debe confiar en el script y lo ejecutará.
Debido a que cree que el script proviene de una fuente confiable, el script malicioso puede acceder a cualquier cookie, token de sesión u otra información confidencial retenida por el navegador y utilizada con ese sitio”.
Un XSS almacenado, que podría decirse que es peor, es aquel en el que el script malicioso se almacena en los propios servidores del sitio web.
Se descubrió que el complemento, MonsterInsights – Google Analytics Dashboard for WordPress, tenía la versión XSS almacenada de la vulnerabilidad.
MonsterInsights: panel de control de Google Analytics para la vulnerabilidad de WordPress
El complemento MonsterInsights Google Analytics está instalado en más de tres millones de sitios web, lo que hace que esta vulnerabilidad sea más preocupante.
La empresa de seguridad de WordPress, Patchstack, que descubrió la vulnerabilidad, publicó detalles:
“Rafie Muhammad (Patchstack) descubrió e informó esta vulnerabilidad Cross Site Scripting (XSS) en WordPress Google Analytics por MonsterInsights Plugin.
Esto podría permitir que un actor malicioso inyecte scripts maliciosos, como redireccionamientos, anuncios y otras cargas HTML en su sitio web que se ejecutarán cuando los visitantes visiten su sitio.
Esta vulnerabilidad ha sido corregida en la versión 8.14.1.”
El registro de cambios del complemento MonsterInsights en el repositorio de complementos de WordPress ofreció una explicación algo vaga del parche de seguridad:
“Corregido: arreglamos un error de advertencia de PHP y agregamos un refuerzo de seguridad adicional”.
Un “fortalecimiento de la seguridad” es un término que se puede aplicar a muchas tareas relacionadas con la reducción de los vectores de ataque, como la eliminación del número de versión.
WordPress ha publicado una página completa sobre el fortalecimiento de la seguridad que recomienda tareas de fortalecimiento de la seguridad, como copias de seguridad periódicas de la base de datos, obtención de temas y complementos de fuentes confiables y uso de contraseñas seguras.
Todas esas actividades fortalecen la seguridad.
Es por eso que usar la frase “fortalecimiento de la seguridad” es un término general y genérico que se usa para algo que es tan específico (e importante) como parchear una vulnerabilidad de seguridad XSS, lo que podría llevar a un usuario a omitir la actualización de su complemento.
Acción sugerida
Patchstack recomienda que todos los usuarios del complemento MonsterInsights Analytics actualicen su complemento de WordPress inmediatamente a la última versión o al menos a la versión 8.14.1.
Lea el anuncio de la base de datos nacional de vulnerabilidades de EE. UU.:
CVE-2023-23999 Detalle
Lea el anuncio de Patchstack:
WordPress Google Analytics by MonsterInsights Plugin <= 8.14.0 es vulnerable a Cross Site Scripting (XSS)