La base de datos nacional de vulnerabilidades (NVD) del gobierno de los Estados Unidos publicó un aviso sobre el complemento de WordPress Shortcodes Ultimate, advirtiendo que se descubrió que contenía una vulnerabilidad de falsificación de solicitud entre sitios.
Shortcodes Ultimate es un complemento de WordPress muy popular que tiene más de 700,000 instalaciones activas.
La vulnerabilidad afecta a las versiones del complemento que son anteriores a la versión actual 5.12.2.
Vulnerabilidad de falsificación de solicitudes entre sitios
La falsificación de solicitudes entre sitios, comúnmente conocida como CSRF, es un tipo de vulnerabilidad que, en el peor de los casos, puede conducir a la toma completa del sitio web.
Este tipo de vulnerabilidades generalmente son causadas por una falla en el software que puede desencadenar un cambio, que luego puede tener consecuencias no deseadas.
Un ataque exitoso generalmente depende de que un usuario, por ejemplo con privilegios administrativos, haga clic en un enlace y revele involuntariamente información como una cookie de sesión que luego se puede usar para suplantar a esa persona.
Este tipo de vulnerabilidad depende de la ingeniería social, que manipula a un usuario final para completar un hecho que luego se aprovecha de la vulnerabilidad del complemento.
De acuerdo con la Proyecto de seguridad de aplicaciones web abiertas (OWASP):
“CSRF es un ataque que engaña a la víctima para que envíe una solicitud maliciosa.
Hereda la identidad y los privilegios de la víctima para realizar una función no deseada en nombre de la víctima…
Para la mayoría de los sitios, las solicitudes del navegador incluyen automáticamente cualquier credencial asociada con el sitio, como la cookie de sesión del usuario, la dirección IP, las credenciales del dominio de Windows, etc.
Por lo tanto, si el usuario está actualmente autenticado en el sitio, el sitio no tendrá forma de distinguir entre la solicitud falsificada enviada por la víctima y una solicitud legítima enviada por la víctima”.
Base de datos de vulnerabilidad nacional (NVD)
La base de datos nacional de vulnerabilidades publicó solo algunos detalles sobre la vulnerabilidad. Actualmente no hay un desglose completo de la vulnerabilidad en sí.
El aviso de NVD publicó lo siguiente:
«Vulnerabilidad de falsificación de solicitud entre sitios (CSRF) en el complemento Shortcodes Ultimate <= 5.12.0 en WordPress que conduce a cambios en la configuración preestablecida del complemento".
El oficial Registro de cambios de Ultimate GitHub de códigos cortos fue igualmente vago, describiendo la actualización para corregir la vulnerabilidad:
“### 5.12.1
**Comunicado de seguridad**
Esta actualización corrige una vulnerabilidad de seguridad en el generador de shortcode. Gracias a Dave John por descubrirlo”.
Mientras tanto, el repositorio de complementos de WordPress registro de cambios explicars:
«Se solucionó el problema con los ajustes preestablecidos del generador de código corto, introducido en la actualización anterior»
El registro de cambios anterior parece escribir mal el nombre del investigador de seguridad, que está escrito correctamente david jong, CTO de Patchstackla persona a la que se atribuye el descubrimiento y la notificación de la vulnerabilidad.
Curso de acción recomendado
Los editores de WordPress que actualmente usan Shortcodes Plugin deberían considerar actualizar a la última versión, que en el momento de escribir este artículo es actualmente la versión 5.12.2.
Citas
Lea el aviso de la base de datos nacional de vulnerabilidades
Lea el anuncio de Patchstack
Imagen destacada de Shutterstock/Cookie Studio
Consultar el artículo en la publicación original
