3 jul. 2017

Vulnerabilidad crítica en WP Statistics de Wordpress (Parchea!)

Ha sido descubierta una vulnerabilidad de SQL Injection en WP Statistics, uno de los plugins de Wordpress más populares, instalados en más de 300.000 sitios web. Este plugin permite a los administradores del sitio obtener información detallada relacionada con el número de usuarios que visitan su sitios y las estadísticas de la página.

Descubierto por el equipo de Sucuri, WP Statistics es vulnerable a una falla de inyección de SQL que permite a un atacante remoto, con al menos una cuenta de suscriptor, robar información sensible y obtener acceso no autorizado a sitios web.

La vulnerabilidad reside en múltiples funciones, incluyendo wp_statistics_searchengine_query() en el archivo includes/functions/functions.php. Esta función es accesible a través de la funcionalidad AJAX de WordPress wp_ajax_parse_media_shortcode().

"Esta vulnerabilidad es causada por la falta de sanitización en los datos proporcionados por los usuarios", dijeron los investigadores. La función vulnerable no comprueba los privilegios, lo que permite a los suscriptores del sitio web ejecutar este código e inyectar código malicioso a sus atributos.

Los investigadores de Sucuri divulgaron en privado la falla al equipo de WP Statistics y el equipo corrigió la vulnerabilidad en su última versión WP Statistics 12.0.8.

Por lo tanto, si tiene una versión vulnerable del complemento y su sitio web permite el registro de usuario, usted está definitivamente en riesgo, y debe instalar la última versión lo antes posible.

Fuente: The Hacker News

3 comentarios:

  1. Cristian te sumo un dato, no es la primera vez que WP Statistics tiene algún problema de seguridad. Podrían revisar en https://wpvulndb.com/search?utf8=%E2%9C%93&text=WP+Statistics y siempre estar atentos a estos antecedentes.

    ResponderEliminar
  2. Tengo un sitio y cada dia aparece en el login cambiado "INDOXPLOIT" como lo puedo solucionar?

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!