Cientos de plugins de WordPress afectados por vulnerabilidad XSS

El conocido autor Joost de Valk ha sido la primera persona en reportar una grave vulnerabilidad que se encontraba en WordPress SEO, uno de sus plugins, y de hecho, de los más descargados en el repositorio general del CMS. A partir de aquí, se han ido reportando más plugins que estaban afectados hasta el punto de que ha sido anunciado en diversos portales para hacer eco de la grave situación (incluso el theme Twenty Fifteen incorpora el fallo en su functions.php).

La verdad de todas es que desde 2013 se conocía esta afectación que tuvo su discusión en los foros del plugin Woocomerce. La vulnerabilidad es debida al código de programación que incluye la funciones add_query_arg() y remove_query_arg(). 

El equipo de WordPress recomienda a los desarrolladores la rápida implementación del patch en sus plugins y/o themes, sugiriendo algunos códigos para sustituir a los antiguos. Las nuevas alternativas son el uso de:

  • esc_url() y esc_url_raw() 

La lista de plugins afectados se desconoce pero sí que se ha realizado con los más empleados por los desarrolladores o webmasters, y éstos son:

  • Jetpack
  • WordPress SEO
  • Google Analytics
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
    UpdraftPlus
  • WP e-Commerce
  • WPTouch
  • Download Monitor
  • P3 Profiler
  • Give
  • iThemes Exchange
  • Broken-Link-Checker
  • Ninja Forms
  • Aesop Story Engine
  • My Calendar

Si eres un usuario, se recomienda actualizar todo lo que tengas, chequear con algún scanner como el de Sucuri, o bien, realizar la sustitución mediante una búsqueda en la base de datos o el propio editor. En Smartik.ws recomiendan crear un nuevo documento .php y renombrarlo a un nuevo query_arg parcheado. Subir el archivo php al plugin y hacer un “search&replace” cuando se llame al archivo.

Por cierto, si el servidor en el que está alojado tu WordPress tiene actualizado Mod_Security es posible que en los logs también observes un incremento de los ataques XSS ya que el boom de la notícias ha hecho despertar a los bots automáticos en busca de la vulnerabilidad citada.

Fuentes a la que acudir:

https://make.wordpress.org/plugins/2015/04/20/fixing-add_query_arg-and-remove_query_arg-usage/
http://wptavern.com/xss-vulnerability-affects-more-than-a-dozen-popular-wordpress-plugins
http://smartik.ws/2015/04/safe-add_query_arg-and-remove_query_arg/

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *