AMP para WP lanzó un parche para una falla de seguridad masiva


AMP para WP, un popular plugin de WordPress con más de 100.000 descargas, se ha convertido en el centro de atención por todas las razones equivocadas.

La vulnerabilidad del complemento se destacó la semana pasada en Blog de WebARX donde publicó un código de prueba de concepto sobre cómo explotarlo. Los atacantes no tardaron en responder y comenzaron a explotarlo, después de lo cual el complemento se eliminó del repositorio oficial de WordPress.

Se descubrió una vulnerabilidad similar en el complemento de cumplimiento de WP GDPR. La vulnerabilidad permitió a los atacantes utilizar el código del complemento para realizar cambios en el sitio web.

La vulnerabilidad en el complemento AMP para WP fue descubierta originalmente por Sybre Waaijer, un investigador de seguridad holandés que descubrió e informó sobre la vulnerabilidad a los desarrolladores en octubre de este año.

Los atacantes podrían usar fácilmente el complemento AMP para WP para buscar en la web sitios vulnerables y usar la vulnerabilidad XSS para insertar código malicioso en varias partes de su sitio web. Esto carga un archivo JavaScript que llama a las URL a las que solo pueden acceder las cuentas de administrador.

Este archivo JavaScript permite a los piratas informáticos crear una cuenta de usuario con el nombre "supportuuser". La cuenta tendrá acceso a todas las secciones del sitio web, incluida la sección del editor de código de otros complementos.

AMP para WP ahora está de regreso, ya que los desarrolladores trabajaron en un parche que solucionaría la vulnerabilidad. Si es uno de los miles de usuarios de este complemento, se recomienda encarecidamente que descargue el parche de inmediato.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Go up