WordPress: Múltiples vulnerabilidades en complementos

Se han reportado múltiples vulnerabilidades en varios complementos para WordPress que permitirían realizar ataques de cross-site scripting (XSS) o inyección SQL dependiendo del complemento afectado.
Impacto
El impacto de esta alerta  se ha clasificado como ALTAMENTE CRÍTICO.

Versiones Afectadas
Se ven afectados por estas vulnerabilidades los siguientes productos y versiones:
  • Global Content Blocks Plugin 1.x
  • Menu Creator Plugin 1.x
  • Fast Secure Contact Form 3.x
  • File Groups 1.x
  • WP-Stats-Dashboard 2.x
  • Contus HD FLV Player 1.x
  • WP DS FAQ Plugin 1.x
  • Odihost Newsletter 1.x
Recomendaciones
Se recomienda actualizar a las versiones mencionadas o realizar los ajustes en el código, filtrando adecuadamente los parámetros de entrada correspondientes, según se indica a continuación:
  • Global Content Blocks Plugin 1.3.
  • Menu Creator Plugin: Editar el código fuente y filtrar adecuadamente la entrada “menu_id” en “wp-content/plugins/wp-menu-creator/updateSortOrder.php”.
  • Fast Secure Contact Form 3.0.3.2.
  • File Groups 1.1.3.
  • WP-Stats-Dashboard 2.6.6.1, y editar el código fuente para filtrar adecuadamente el parámetro de entrada “onchange” en “wp-content/plugins/wp-stats-dashboard/view/admin/blocks/select-trend.php”.
  • Contus HD FLV Player: Editar el código fuente y filtrar adecuadamente las entradas “playid”  y “listItem” en “wp-content/plugins/contus-hd-flv-player/process-sortable.php”.
  • WP DS FAQ: Editar el código fuente y filtrar adecuadamente la entrada “id” en  “wp-content/plugins/wp-ds-faq/ajax.php”.
  • Odihost Newsletter: Editar el código fuente y filtrar adecuadamente la entrada”id”  en “wp-content/plugins/odihost-newsletter-plugin/includes/openstat.php”.

NOTAS IMPORTANTESOtras recomendaciones:

  • Utilizar un Firewall de Aplicación Web (WAF).
  • Realizar un proceso de aseguramiento (hardening) del servidor utilizado. Principalmente del sistema operativo, de la base de datos, del servidor web y del lenguaje PHP.
  • No utilizar programas, complementos, módulos  o agregados en ambientes de producción sin realizar pruebas de seguridad. Tener en cuenta que muchos de los complementos disponibles no cuentan con una codificación que minimice los riesgos de seguridad.
  • Remover todo complemento o módulo que no sea necesario o utilizado y mantener actualizados tanto la aplicación WordPress, como todos los complementos utilizados.

Mas información en estos enlaces: 1, 2, 3, 4, 5, 6, 7, 8 y 9

Fuente: ArCert

Share

This entry was posted in blog, bugs, empresas, seguridad, servicios web, tools, updates, webs. Bookmark the permalink.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.