La vulnerabilidad del complemento de optimización automática de WordPress afecta a +1 millón de sitios
Vulnerabilidad de XSS almacenada
Una vulnerabilidad XSS (Stored Cross-Site Scripting) ocurre cuando el software tiene una falla que permite a un atacante descargar un archivo malicioso que luego puede atacar a cualquier otra persona que visite el sitio.
Existen diferentes tipos de vulnerabilidades XSS almacenadas y no está claro de qué tipo son.
Sin embargo, dependiendo de dónde se descargue el archivo malicioso, este tipo de vulnerabilidad puede ser particularmente problemático cuando alguien con privilegios de administrador visita el sitio y recibe la carga útil, lo que puede resultar en un control total del sitio.
Publicidad
Continuar leyendo a continuación
Según el Instituto Nacional de Estándares y Tecnología del Gobierno de los Estados Unidos, un sitio web del Departamento de Comercio de los Estados Unidos, así es como se define un exploit de script entre sitios:
"Una vulnerabilidad que permite a los atacantes inyectar código malicioso en un sitio web que de otro modo sería inofensivo".
Estos scripts adquieren los permisos de los scripts generados por el sitio web de destino y, por lo tanto, pueden comprometer la confidencialidad e integridad de las transferencias de datos entre el sitio web y el cliente.
Los sitios web son vulnerables si muestran datos proporcionados por el usuario de solicitudes o formularios sin limpiar los datos para que no sean ejecutables. "
Esto se denomina vulnerabilidad XSS "almacenada" porque el archivo malicioso se almacena en el sitio web. Diferentes tipos de XSS
Publicidad
Continuar leyendo a continuación
Evaluación de vulnerabilidad
Las vulnerabilidades se evalúan utilizando un estándar de código abierto llamado Common Vulnerability Scoring System (CVSS). Se suele hacer referencia a una puntuación de vulnerabilidad con la versión 3.1 de CVSS.
Así es como se describe el estándar de vulnerabilidad:
“El Common Vulnerability Scoring System (CVSS) es un marco abierto para comunicar las características y la gravedad de las vulnerabilidades del software. "
La vulnerabilidad que afecta a Autoptimize se conoce como una vulnerabilidad XSS almacenada autenticada, lo que significa que un atacante debe iniciar sesión en el sitio para aprovechar la vulnerabilidad.
Esto puede explicar por qué el nivel de gravedad de la vulnerabilidad del complemento de WordPress Autoptimize se calificó como medio, con una puntuación de 5,4 en una escala de 1 a 10.
Optimice automáticamente el registro de cambios
Un registro de cambios es un registro de todos los cambios realizados por el software con cada actualización. Suele indicar una versión, a veces la fecha de la versión y los cambios contenidos en la actualización.
Según el registro de cambios oficial de Autoptimize, la última versión es 2.8.4, que corrige la vulnerabilidad.
"2.8.4
corrección de una vulnerabilidad XSS autenticada »
Aunque se trata de una vulnerabilidad clasificada como media, se recomienda que todos los proveedores que utilicen este complemento lo actualicen de inmediato para mantenerse a salvo.
Citas
Documentación de optimización automática de vulnerabilidades en el sitio de seguridad de Patchstack
Diario oficial de modificaciones Autoptimize