XSS: Nueva vulnerabilidad en WordPress 4.2

Hoy se ha descubierto un nuevo fallo de seguridad de tipo XSS persistente en WordPress 4.2, la última versión actual del popular CMS.


La versión actual de WordPress 4.2 y anteriores, están afectadas por un fallo de seguridad de tipo XSS persistente. Con este fallo de seguridad, cualquier usuario malintencionado y sin permisos de ningún tipo en el blog, podría inyectar un código JavaScript malicioso en los comentarios de WordPress con la finalidad de tener acceso al blog y ejecutar código arbitrario tanto en el servidor que lo aloja como en el propio blog.

 

Asimismo el atacante podría cambiar la contraseña de administrador, crear nuevas cuentas de administrador y posteriormente hacerse con el control del blog.

 

Este fallo de seguridad se produce únicamente si el comentario es lo suficientemente largo para que sea truncado al insertarlo en la base de datos. El tipo TEXT de la base de datos MySQL está limitado a 64KB así que el comentario debe tener esta longitud o mayor. Este fallo es parecido a otro descubierto anteriormente, que consistía en insertar un carácter UTF-8 inválido.

 

Actualmente la única solución por parte de los administradores se basa en cerrar los comentarios del blog o en aprobar manualmente todos y cada uno de los comentarios de los usuarios, bajo revisión estricta de lo que hay en él.

 

redeszone.net/ Sergio De Luz

Ningún Comentario

Deja un comentario