Found a vulnerability affecting more than 300,000 WordPress sites

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/found-vulnerability-affecting-300000-wordpress-sites/
TAGS: SQL
Se ha detectado una vulnerabilidad de inyección de SQL en un plugin utilizado por más de 300.000 sitios WordPress, que en caso de ser explotada, daría a los atacantes la posibilidad de robar las bases de datos para obtener datos sensibles y secuestrar los sitios web a través de accesos no autorizados.

Siendo más concretos, la vulnerabilidad ha sido hallada en el popular plugin WP Statistics, que permite a los administradores de un sitio WordPress obtener información detallada sobre la cantidad de usuarios online, la cantidad de visitantes y estadísticas sobre las páginas.

Descubierta por Sucuri, la vulnerabilidad de inyección de SQL hallada en el plugin WP Statistics reside en múltiples funciones, incluida la wp_statistics_searchengine_query(). Su origen está en la falta de saneamiento de los datos suministrados por el usuario. Según Sucuri, “algunos atributos del shortcode de WP Statistics están siendo pasados como parámetros para importantes funciones. Esto no tendría que ser un problema si esos parámetros son saneados.”

La función wp_statistics_searchengine_query() no comprueba privilegios adicionales, lo que permite a los suscriptores de un sitios web ejecutar el shortcode e inyectar código malicioso a sus atributos. Sucuri decidió reportar de forma privada la vulnerabilidad a los desarrolladores de WP Statistics, que la parchearon en la versión 12.0.8 del plugin.

Se recomienda encarecidamente actualizar el plugin a una versión igual o posterior a la mencionada en el párrafo anterior, sobre todo si el sitio web permite el registro de usuarios.

Fuente:http://muyseguridad.net/2017/07/04/vulnerabilidad-300-000-wordpress/
Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/found-vulnerability-affecting-300000-wordpress-sites/

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s