WordPress es un sistema de gestión de contenidos, con licencia pública general (GPL), haciéndolo un software libre, desarrollado en lenguaje PHP con la posibilidad de ejecutar entornos MySQL y Apache. Está enfocado principalmente en la creación de páginas web o Blogs por medio de plantillas prediseñadas, posee diferentes temas personalizables, múltiples herramientas de edición y gran flexibilidad en el diseño debido al constante desarrollo de complementos (Plugins).
La reciente vulnerabilidad de severidad alta [CVE-2020-8417] es de tipo falsificado de petición entre sitios (cross-site request forgery - CSRF), la cual se encuentra en el plugin “Code Snippets” y al ser explotada, puede tomar el control de sitios webs basados Wordpress que estén ejecutando versiones vulnerables del plugin.
El plugin Code Snippets permite a los usuarios ejecutar código sin agregar fragmentos personalizados al archivo “functions.php” de su tema. El plugin también implementa una interfaz gráfica para gestionar los fragmentos, así como activarlos o desactivarlos, similar al menú de plugins de WordPress. Esta vulnerabilidad CSRF puede ser explotada por los atacantes, con el fin de falsificar una petición que provenga de un administrador e inyectar código en un sitio web vulnerable, permitiendo la ejecución de código arbitrario de forma remota en WordPress con instalaciones de Code Snippets vulnerables.
La solución a esta vulnerabilidad fue lanzada el 25 de Enero del presente año, donde los desarrolladores destacan que aún hay más de 200.000 instalaciones activas con las versiones vulnerables de Code Snippets.
Desde Arkavia Networks recomendamos encarecidamente a los usuarios de WordPress que utilizan el plugin “Code Snippets”, actualizar a su versión 2.14.0 lo antes posible.
Además, sabemos que ningún dispositivo, aplicación, explorador o complemento (plugin) es totalmente seguro, por eso les dejamos las siguientes recomendaciones para mitigar este tipo de vulnerabilidades.
- Mantenga sus dispositivos, explorador, aplicaciones y complementos (plugins) actualizados.
- Elimine cualquier aplicación, extensión o complemento que no utilice.
- Realice respaldos de su sitio web periódicamente.
- Respalde cuando realice cambios importantes en su página web.
- Guarde los respaldos en un equipo o dispositivo aislado de la red.
Referencia:
COMENTARIOS