Los complementos de los sitios web WordPress siempre han sido uno de los principales problemas de la plataforma, provocando la aparición de una gran cantidad de problemas, algo similar a los que sucede con los navegadores y los complementos. En este caso, el cliente de InfiniteWP ha sido el causante de estos problemas que ponen en peligro la seguridad del sitio web, permitiendo que una tercera persona pueda tomar su control.
Para todos aquellos que no conozcan el complemento se trata de una herramienta que permite la gestión de una gran cantidad de blogs basados en esta plataforma utilizando un único administrador, es decir, aglutinar todos ellos bajo una misma interfaz.
El problema se encuentra en todas las versiones de este complemento que sean anteriores a las 1.3.8. Este radica en la ausencia de verificación para un número concreto de operaciones, es decir, en WordPress se utiliza la libería OpenSSL de PHP para verificar la validez de una petición y que esta no ha sido modificado o se ha intentado dicha acción, bloqueando dicha petición para evitar problemas.
El problema de InfiniteWP es que algunas operaciones no requieren de autenticación, por lo tanto pueden realizarse sin que se aplique ningún tipo de verificación sobre ellas antes de ser ejecutadas en el sitio web.
Poner el sitio web en modo mantenimiento e incrustar código malicioso
Debido a la importancia del fallo, WordPress ha cargado como no podía ser de otra manera contra los responsables del complemento y se han negado a dar detalles debido a la importancia del problema, afirmando que tras 30 días darán más detalles sobre el problema, siempre y cuando este se haya resuelto en ese plazo de tiempo.
El fallo de seguridad puede permitir a terceras personas poder el sitio web en modo mantenimiento y permitir el incrustado de marcos con código malicioso, permitiendo que el usuario acceda a páginas con contenido malware o bien proceder a la descarga de la variante de cualquier virus.
Fuente | Softpedia