Hace exactamente un mes publicábamos una noticia relacionada con vulnerabilidades XSS en uno de los complementos de este desarrollador. Recientemente también supimos que el paquete SEO más utilizado en sitios web de WordPress también poseía importantes vulnerabilidades. A pesar de todo, Yoast es de nuevo noticias por vulnerabilidades que afectan a sus plugins.
WordPress SEO, Google Analytics y All in one SEO son vulnerables ante ataques XSS, provocando que los sitios web que hagan uso de al menos de uno de estos tres complementos estén afectados. Sin embargo, la lista se ha hecho aún mayor cuando expertos en seguridad han procedido a realizar pruebas con otros complementos, ascendiendo en total a 17. Para terminar con las cifras, se estima que millones de sitios web estén afectados por los fallos de seguridad que poseen estos 17 complementos, la mayoría de ellos muy utilizados, tal y como hemos podido comprobar.
El origen de los problemas se sitúa en el tratamiento que hacen estos complementos de las URL, concretamente de la cadena de texto que se utiliza posteriormente como dirección web, permitiendo que se pueda introducir código y se interprete, provocando que un atacante pueda introducir en la página web marcos con código malicioso que provoque la descarga de malware en el equipo del usuario al acceder a la página, por ejemplo.
Dos funciones las causantes del problema
add_query_arg() y remove_query_arg() son las dos funciones que han provocado la aparición del problema por su utilización no segura. Expertos en seguridad han realizado un análisis profundo sobre una gran cantidad de aplicaciones en busca del error, afirmando que tras comprobar 400, resulta muy difícil saber a ciencia cierta el número exacto de las que se encuentran afectadas, aclarando que la cifra de diecisiete no es la real y que es mucho mayor.
Por suerte los usuarios de la mayoría de estos 17 complementos ya disponen de una versión actualizada que pone solución al problema y evita que los complementos se conviertan en un aliado del lado de los ciberdelincuentes. Los responsables del resto han anunciado soluciones entre esta semana y a lo largo de la próxima.
Fuente | Softpedia