Todas las versiones actuales de WordPress son vulnerables

Ayer se supo que todas las actuales versiones de WordPress son vulnerables a un fallo por el que un atacante podría inyectar código JavaScript en los comentarios.

Según informan en Klikki, cualquier visitante malintencionado podría cambiar claves de administración, inyectar código en temas y plugins con un solo comentario en tu Web.

La vulnerabilidad afecta a todas las versiones actuales de WordPress: 4.2, 4.1.3, 4.1.1 y 3.9.3 y se ha probado con las versiones 5.1.53 y 5.5.41 de MySQL.

¿Cómo funciona?

Si un comentario es demasiado largo se recorta al insertarse en la base de datos. El límite de tamaño para texto en MySQL es de 64 kb, así que el comentario tiene que ser bastante largo.

Al recortarse el texto se crea un HTML erróneo en la página. El atacante, aprovechando este error, puede ofrecer atributos a las etiquetas HTML permitidas.

Un comentario de ejemplo que probaría este error podría ser algo así:

En este vídeo lo tienes ves más claro:

Como puedes imaginar, a no mucho tardar tendremos una actualización de seguridad de WordPress que solucione este problemón.

¿Soluciones?

De momento ve desactivando los comentarios hasta que no haya una actualización de WordPress 4.2 y resto de versiones que solucione el problema. Incluso podría ser una buena oportunidad para animarte a probar Disqus o similares.

Nota: en cuestión de horas ya hay una actualización que soluciona el problema.

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (2 votos, promedio: 4,50 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest