Vulnerabilidad XSS en Jetpack

Vulnerabilidad XSS afecta a más de una docena populares plugins de WordPress

Durante la semana pasada, la empresa de seguridad Sucuri ha trabajado con el equipo de seguridad de WordPress para solucionar una vulnerabilidad de cross site scripting descubierto en más de una docena de plugins de WordPress populares. La vulnerabilidad se debe a la mala utilización de las funciones add_query_arg() y remove_query_arg().

La documentación oficial de WordPress oficial (Codex) en estas funciones no está muy clara y muchos desarrolladores de plugins han usado estas funciones de forma insegura. Este simple detalle, hizo que muchos de los plugins más populares sean vulnerable a XSS.

Sucuri ha auditado los 300-400 plugins más populares de wordpres y se encontró al menos 15 plugins que contiene el código vulnerable.

Estos son algunos de los plugin reportados por sucuri que son vulnerables:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Probablemente hay muchos más plugin que no están listados pero sucuri solo ha rascado la superficie de los más de 37.000 plugins existentes en este momento.

Si utilizas wordpress es el momento de actualizar los plugins y revisar si tienes algún otro plugin que utilice dichas funciones y los autores no hayan solventado la vulnerabilidad.

Fuente:
https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html

Dejar respuesta

  He leído y acepto la política de privacidad

Información básica de protección sobre datos personales