[0-Day] WordPress permite que atacantes tomen el control De tus
Transcripción
[0-Day] WordPress permite que atacantes tomen el control De tus
04-2015 [0-Day] WordPress permite que atacantes tomen el control De tus sitios web mediante comentarios con JavaScript Malicioso. Muchas de las veces, se ha informado acerca de las vulnerabilidades de WordPress, que involucran plugins vulnerables, pero esta vez un investigador finlandés ha revelado algunos detalles sobre una vulnerabilidad de 0-Day que descubrió en el WordPress 4.2, la cual utiliza el motor central para provocar la ejecución remota de códigos en el servidor web. El CMS WordPress utilizado por millones de sitios web es vulnerable a una falla de 0-Day que podría permitir a los atacantes la ejecución de código remoto con el fin de tomar el control total del mismo. La vulnerabilidad, encontrada por Jouko Pynnönen, el cual se desempeña laboralmente para una empresa de seguridad con sede en Finlandia, Klikki Oy, consiste en un cross-site scripting (XSS), Esta vulnerabilidad se encuentra almacenada en la plataforma del CMS WordPress, la misma genera una falla en el sistema de comentarios del CMS. La vulnerabilidad afecta a las versiones de WordPress 3.9.3, 4.1.1, 4.1.2, y la última versión de WordPress 4.2. La explotación de la vulnerabilidad 0-Day: La vulnerabilidad permite al atacante inyectar un código JavaScript malicioso en la sección de comentarios que aparece en la parte inferior de millones de blogs de WordPress de todo el mundo. Sin embargo, esta acción debe ser bloqueada en circunstancias ordinarias. Adicionalmente se necesita un formulario de comentarios utilizable, ya que el script no se ejecuta en el panel de administración. Cuando el comentario es procesado por una persona con derechos de administrador de WordPress en la página web, el código malicioso se ejecuta sin dar ninguna indicación para el administrador. Por defecto, WordPress no publica automáticamente el comentario de un usuario hasta que el usuario ha sido aprobado por el administrador del sitio. Los atacantes pueden eludir esta limitación engañando al administrador con su primer comentario benigno, el atacante queda libre de revisión y puede inyectar el exploit de varias páginas y entradas de blog. @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected] 04-2015 [0-Day] WordPress permite que atacantes tomen el control De tus sitios web mediante comentarios con JavaScript Malicioso. Esto podría permitir a los atacantes cambiar contraseñas, añadir nuevos administradores, o tomar otras acciones que sólo pueden ser realizadas por el administrador legítimo de la página web. Esto es lo que llamamos un ataque de cross-site scripting. - WordPress parchea el defecto 0 Day: Con el fin de solucionar el problema de seguridad, los administradores deben actualizar su CMS Wordpress 4.2.1, que fue lanzado hace unos días. Esta actualización puedes descargarla en el siguiente enlace: https://wordpress.org/ "Esta es una versión de seguridad crítica para todas las versiones anteriores y alentamos firmemente que actualice sus sitios de inmediato", dijo el equipo de WordPress de la última versión. WordPress versión 4.2.1, según informes soluciona la vulnerabilidad de 0-Day reportado, por Pynnonen. Así que si usted es dueño de un sitio web de WordPress, asegúrese de que ejecuta una versión actualizada del CMS con todos los plugins hasta a la fecha. Fuente: http://www.welivesecurity.com/la-es/2015/04/28/zero-day-en-wordpress-falsos-comentarios/ @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - [email protected]