La vulnerabilidad del complemento de feeds de Facebook de WordPress expone más de 200.000 sitios web


Se descubrió que Smash Balloon Social Post Feed, un complemento de WordPress, tiene una vulnerabilidad que expone los sitios web a permitir que un atacante cargue scripts maliciosos. Los investigadores de seguridad de Jetpack descubrieron la vulnerabilidad y notificaron a los editores de complementos que lo parchearon y lanzaron una versión fija, la versión 4.0.1. Las versiones anteriores a esa son vulnerables.

Feed de publicaciones sociales de Smash Balloon

El complemento de WordPress Smash Balloon Social Post Feed toma los feeds de Facebook y los convierte en publicaciones en un sitio de WordPress.

La versión gratuita del complemento está diseñada para mostrar las publicaciones de Facebook de una manera que coincida con la apariencia del sitio en el que se vuelve a publicar el contenido de Facebook. La versión paga «pro» también vuelve a publicar imágenes, videos y comentarios.

Anuncio publicitario

Continuar leyendo a continuación

Secuencias de comandos almacenadas entre sitios mediante una actualización de configuración arbitraria

Un exploit de secuencias de comandos de sitios cruzados almacenados (XSS almacenado) es una forma de vulnerabilidad de secuencias de comandos de sitios cruzados que permite que un atacante malintencionado cargue y almacene de forma permanente secuencias de comandos dañinas en el servidor.

Tú sin ánimo de lucro Abrir proyecto de seguridad de aplicaciones webt (OWASP) describe las vulnerabilidades almacenadas de XSS:

“Los ataques almacenados son aquellos en los que el script inyectado se almacena permanentemente en los servidores de destino, como en una base de datos….

Luego, la víctima recupera el script malicioso del servidor cuando solicita la información almacenada «.

Faltan cheques de privilegio y de Nonce

La advertencia de seguridad publicada por Jetpack anunció que el complemento de WordPress Smash Balloon Social Post Feed tenía dos problemas de seguridad que hicieron que se convirtiera en un problema de seguridad. Faltaban los cheques Privilege y Nonce.

Anuncio publicitario

Continuar leyendo a continuación

Los ataques XSS generalmente pueden ocurrir donde sea que haya una forma de cargar o ingresar algo en un sitio de WordPress. Puede ser a través de un formulario, en comentarios, siempre que un usuario pueda ingresar datos.

Se supone que un complemento de WordPress protege el sitio mediante la realización de comprobaciones, entre ellas una comprobación del nivel de privilegio que tiene un usuario (suscriptor, editor, administrador).

Sin una verificación de privilegios adecuada, un usuario en el nivel más bajo, como un suscriptor, puede realizar acciones que normalmente requieren los niveles más altos de acceso, como privilegios de nivel de administrador.

Un nonce es un token de seguridad de un solo uso destinado a proteger las entradas de los ataques.

El WordPress Nuna vez Documentación explica el valor de nonces:

“Si su tema permite a los usuarios enviar datos; ya sea en el administrador o en el front-end; nonces se puede utilizar para verificar que un usuario tiene la intención de realizar una acción y es fundamental para la protección contra la falsificación de solicitudes entre sitios (CSRF).

Un ejemplo es un sitio de WordPress en el que los usuarios autorizados pueden cargar videos «.

Jetpack identificó una vulnerabilidad en el complemento Smash Balloon que no pudo realizar las comprobaciones de privilegios y nonce, lo que abrió el sitio al ataque.

Jetpack describió cómo la vulnerabilidad expuso los sitios web:

“La acción AJAX wp_ajax_cff_save_settings, que es responsable de actualizar la configuración interna del complemento, no realizó ninguna verificación de privilegios o nonce antes de hacerlo. Esto hizo posible que cualquier usuario que hubiera iniciado sesión llamara a esta acción y actualizara cualquiera de las configuraciones del complemento.

Desafortunadamente, una de estas configuraciones, customJS, permite a los administradores almacenar JavaScript personalizado en las publicaciones y páginas de su sitio. Actualizar esta configuración es todo lo que habría necesitado un mal actor para almacenar scripts maliciosos en el sitio «.

Anuncio publicitario

Continuar leyendo a continuación

El registro de cambios del complemento de WordPress Smash Balloon Social Post Feed, que registra lo que contiene cada actualización de versión, señala correctamente que se solucionó un problema de seguridad.

No solo es responsable de corregir las vulnerabilidades de manera oportuna, como hizo Smash Balloon, sino que también es responsable de anotarlo en el registro de cambios, lo que también hizo Smash Balloon.

El registro de cambios dice:

«Solución: refuerzo de la seguridad mejorado».

Captura de pantalla de Smash Balloon Social Post Feed Changelog

Captura de pantalla del registro de cambios del complemento de alimentación de publicaciones sociales de Smash Balloon

Acción sugerida

Smash Balloon Social Post Feed se actualizó recientemente para corregir el ataque Stored XSS que permite que se carguen scripts maliciosos.

Anuncio publicitario

Continuar leyendo a continuación

Jetpack recomienda actualizar Smash Balloon Social Post Feed a la última versión en este momento, que es la versión 4.0.1. No hacerlo puede hacer que la instalación de WordPress sea insegura.

Citas

Aviso de seguridad de Jetpack

Problemas de seguridad parcheados en el complemento Smash Balloon Social Post Feed





Consultar el artículo en la publicación original

La vulnerabilidad del complemento de feeds de Facebook de WordPress expone más de 200.000 sitios web
A %d blogueros les gusta esto: