Un fallo de WordPress expone a millones de páginas web
Los propietarios de páginas web basadas en WordPress deberían actualizar lo antes posible su plataforma siempre que utilicen el plug-in de Jetpack. Es la forma de evitar un grave fallo de seguridad que expone a sus usuarios a ataques.
Jetpack es un popular plug-in de la plataforma que ofrece características extras a los usuarios, como es la optimización de la página web, la administración, así como aspectos relacionados con la propia seguridad. El plug-in fue desarrollado por Automattic, la compañía que se encuentra detrás de WordPress.com y de su proyecto de código abierto, y que actualmente cuenta con más de un millón de instalaciones activas.
Los ingenieros de la firma de seguridad Sucuri han encontrado una vulnerabilidad XSS (stored cross-site scripting) que afecta a todos los desarrollos de Jetpack posteriores a 2012, comenzando por la versión 2.0.
El número es localizado en el módulo Shortcode Embeds Jetpack, el cual permite a los usuarios insertar en sus páginas vídeos externos, imágenes, documentos, mensajes de Twitter y otros recursos en los diferentes contenidos. La vulnerabilidad puede ser fácilmente explotada mediante la inyección de código malicioso del tipo JavaScript.
Dado que el código JavaScript es catalogado de persistente, puede alcanzar a ejecutarse en los navegadores de los usuarios en el contexto de las páginas web que hayan sido afectadas. De esta forma, el código puede llegar a robar las cookies de autenticación, incluyendo la sesión del administrador, o redirigir a los visitantes a exploits.
“La vulnerabilidad puede ser explotada de manera sencilla a través de los comentarios introducidos en WordPress, por lo que la recomendación pasa por actualizar la plataforma lo antes posible”, afirma Marc-Alexandre Montpas, un investigador de Sucuri.
Los lugares que no tengan el módulo Shortcode Embeds activado no se verían afectados por dicha vulnerabilidad, aunque es una funcionalidad tan popular que la mayoría de los lugares la tendrán habilitada.
Los desarrolladores de Jetpack han trabajado con el equipo de seguridad de WordPress para acelerar el despliegue de la actualización a todas las versiones que se han visto afectadas, a través del sistema de actualización automática con el que cuenta el núcleo de WordPress.
