M谩s

    La vulnerabilidad del complemento WordPress LiteSpeed 鈥嬧媋fecta a 4 millones de sitios web

    - Advertisement -

    El popular complemento LiteSpeed 鈥嬧媎e WordPress solucion贸 una vulnerabilidad que compromet铆a a m谩s de 4 millones de sitios web, permitiendo a los piratas inform谩ticos cargar scripts maliciosos.

    LiteSpeed 鈥嬧媐ue notificado de la vulnerabilidad hace dos meses, el 14 de agosto, y lanz贸 un parche en octubre.

    Vulnerabilidad de secuencias de comandos entre sitios (XSS)

    Wordfence descubri贸 una vulnerabilidad de Cross-Site Scripting (XSS) en el complemento LiteSpeed, el complemento de almacenamiento en cach茅 de WordPress m谩s popular del mundo.

    Las vulnerabilidades XSS son generalmente de un tipo que se aprovecha de la falta de un proceso de seguridad llamado desinfecci贸n y escape de datos.

    La desinfecci贸n es una t茅cnica que filtra qu茅 tipo de archivos se pueden cargar a trav茅s de una entrada leg铆tima, como en un formulario de contacto.

    En la vulnerabilidad espec铆fica de LiteSpeed, la implementaci贸n de una funcionalidad de c贸digo abreviado permiti贸 a un pirata inform谩tico malintencionado cargar scripts que de otro modo no podr铆an cargar si se hubieran implementado los protocolos de seguridad adecuados de desinfecci贸n/escape de datos.

    La p谩gina del desarrollador de WordPress describe el pr谩ctica de seguridad de desinfecci贸n:

    鈥淟os datos no confiables provienen de muchas fuentes (usuarios, sitios de terceros, 隆incluso su propia base de datos!) y es necesario verificarlos todos antes de usarlos.

    鈥esinfectar los datos de entrada es el proceso de asegurar/limpiar/filtrar los datos de entrada鈥.

    Otra p谩gina para desarrolladores de WordPress describe lo recomendado proceso de escape de datos como esto:

    鈥淓scapar de la salida es el proceso de proteger los datos de salida eliminando los datos no deseados, como etiquetas HTML o script con formato incorrecto.

    Este proceso ayuda a proteger sus datos antes de entreg谩rselos al usuario final鈥.

    Esta vulnerabilidad espec铆fica requiere que el hacker primero obtenga permisos de nivel de colaborador para poder llevar a cabo el ataque, lo que hace que llevar a cabo el ataque sea m谩s complicado que otros tipos de amenazas que no est谩n autenticadas (no requieren ning煤n nivel de permiso).

    Seg煤n Wordfence:

    鈥淓sto hace posible que los actores de amenazas lleven a cabo ataques XSS almacenados. Una vez que se inyecta un script en una p谩gina o publicaci贸n, se ejecutar谩 cada vez que un usuario acceda a la p谩gina afectada.

    Si bien esta vulnerabilidad requiere que una cuenta de colaborador confiable est茅 comprometida, o que un usuario pueda registrarse como colaborador, los actores de amenazas exitosos podr铆an robar informaci贸n confidencial, manipular el contenido del sitio, inyectar usuarios administrativos, editar archivos o redirigir a los usuarios a sitios web maliciosos que Son todas consecuencias graves鈥.

    驴Qu茅 versiones del complemento LiteSpeed 鈥嬧媠on vulnerables?

    Las versiones 5.6 o inferiores del complemento LiteSpeed 鈥嬧婥ache son vulnerables al ataque XSS.

    Se recomienda a los usuarios de LiteSpeed 鈥嬧婥ache que actualicen su complemento lo antes posible a la 煤ltima versi贸n, 5.7, que se lanz贸 el 10 de octubre de 2023.

    Lea el bolet铆n de Wordfence sobre la vulnerabilidad LiteSpeed 鈥嬧媂SS:

    4 millones de sitios de WordPress afectados por la vulnerabilidad de secuencias de comandos almacenadas entre sitios en el complemento LiteSpeed 鈥嬧婥ache

    Imagen destacada de Shutterstock/Asier Romero

    Fuente: La vulnerabilidad del complemento WordPress LiteSpeed 鈥嬧媋fecta a 4 millones de sitios web

    Populares

    M谩s de esta categor铆a

    DEJA UNA RESPUESTA

    Por favor ingrese su comentario!
    Por favor ingrese su nombre aqu铆

    Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.