El complemento de WordPress Accelerated Mobile Pages, con más de 100.000 instalaciones, parchó una vulnerabilidad de gravedad media que podría permitir a un atacante inyectar scripts maliciosos para que los ejecuten los visitantes del sitio web.
Secuencias de comandos entre sitios a través de código corto
Un cross-site scripting (XSS) es uno de los tipos de vulnerabilidad más frecuentes. En el contexto de los complementos de WordPress, las vulnerabilidades XSS ocurren cuando un complemento tiene una forma de ingresar datos que no está suficientemente protegida por un proceso que valida o desinfecta las entradas del usuario.
La desinfección es una forma de bloquear tipos de entrada no deseados. Por ejemplo, si un complemento permite a un usuario agregar texto a través de un campo de entrada, entonces también debería desinfectar cualquier otra cosa que se ingrese en ese formulario y que no pertenezca, como un script o un archivo zip.
Un shortcode es una característica de WordPress que permite a los usuarios insertar una etiqueta similar a esta [example] dentro de publicaciones y páginas. Los códigos cortos incorporan funcionalidades o contenido proporcionado por un complemento. Esto permite a los usuarios configurar un complemento a través de un panel de administración y luego copiar y pegar un código corto en una publicación o página donde desean que aparezca la funcionalidad del complemento.
Una vulnerabilidad de “secuencias de comandos entre sitios mediante código abreviado” es una falla de seguridad que permite a un atacante inyectar secuencias de comandos maliciosas en un sitio web explotando la función de código abreviado del complemento.
Según un informe publicado recientemente por la empresa de seguridad Patchstack WordPress:
“Esto podría permitir que un actor malintencionado inyecte scripts maliciosos, como redireccionamientos, anuncios y otras cargas HTML en su sitio web, que se ejecutarán cuando los visitantes visiten su sitio.
Esta vulnerabilidad se ha solucionado en la versión 1.0.89”.
Wordfence describe la vulnerabilidad:
“El complemento Accelerated Mobile Pages para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través de los códigos cortos del complemento en todas las versiones hasta la 1.0.88.1 inclusive debido a una desinfección de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario”.
Wordfence también aclara que se trata de una vulnerabilidad autenticada, lo que para este exploit específico significa que un hacker necesita al menos un nivel de permiso de colaborador para poder aprovechar la vulnerabilidad.
Patchstack califica este exploit como una vulnerabilidad de nivel de gravedad medio, con una puntuación de 6,5 en una escala del 1 al 10 (siendo diez el más grave).
Se recomienda que los usuarios verifiquen sus instalaciones para que estén parcheadas al menos con la versión 1.0.89.
Lea el informe de Patchstack aquí:
El complemento de páginas móviles aceleradas de WordPress <= 1.0.88.1 es vulnerable a Cross Site Scripting (XSS)
Lea el anuncio de Wordfence aquí:
Páginas móviles aceleradas <= 1.0.88.1 – Secuencias de comandos entre sitios almacenadas autenticadas (Contributor+) a través de código corto
Imagen destacada de Shutterstock/pedrorsfernandes