Un fallo en la página de generación de WordPress expone a millones de sitios web

La página de generación de WordPress ha se visto afectada durante meses por una serie de fallos de seguridad y vulnerabilidad que han expuesto a millones de sitios web.

Como han explicado los expertos en seguridad de CheckPoint, la vulnerabilidad permite a los atacantes inyectar código JavaScript a cualquier objeto de la página -cabeceras, plantillas, calendarios, archivos multimedia, actualización de noticias, etc.-.

En este caso, se trata de una vulnerabilidad del tipo 'cross-site' scripting (XSS) relacionada con el proceso de las etiquetas 'shortcode', como ha informado CheckPoint en un comunicado.

El atacante puede explotar este fallo inyectando código malicioso en los objetos de las páginas cuando estas son generadas: La carga XSS es ejecutada cuando cualquier usuario, incluido los administradores, cargan dicha página.

Este descubrimiento se une a los realizados anteriormente en WordPress. Así, CheckPoint alertó previamente de una vulnerabilidad de elevación de privilegios, que permitía a cualquier suscriptor de WordPress crear y editar mensajes enviados a la papelera. También se destapó cómo un atacante podía utilizar la nueva plataforma para llevar a cabo una inyección SQL en el servidor atacado.

Desde CheckPoint han alertado de que todo 'software' puede ser comprometido, incluido el de código abierto. Además, ha comunicado que ambas vulnerabilidades ya han sido parcheadas, por lo que es necesario actualizar a WordPress 4.3.1 tan pronto como sea posible.