Categories
Wordpress

WordPress Gutenberg Plantilla Library Plugin Vulnerabilidad Afecta +1 millones de sitios

Se descubrió un complemento de la biblioteca de la plantilla de WordPress Gutenberg de terceros con más de un millón de usuarios para tener dos vulnerabilidades. La explotación exitosa de estas vulnerabilidades podría crear un camino indirecto hacia una toma totalización del sitio.

El complemento de WordPress, la biblioteca de plantillas de Gutenberg y el marco REDUX, fue descubierto por WordPress Security Company Wordfence para ser vulnerable a dos ataques específicos.

Gutenberg Plantilla de la biblioteca y el marco REDUX Framework Plugin de WordPress

Este complemento es una biblioteca de bloques de WordPress Gutenberg que permiten a los editores construir fácilmente sitios web utilizando los “bloques” de construcción prefabricados cuando se crea un sitio web usando el sitio web Interfaz.

De acuerdo con la descripción del plugin oficial :

“Crear rápidamente páginas completas en WOrdress ‘Gutenberg

Supercharge The Gutenberg Editor con nuestra biblioteca de siempre creciente de bloques y plantillas de WordPress. Descubra lo que es posible e implementa cualquier diseño en su sitio web en prácticamente ningún tiempo en absoluto “.

AnunciCementContinue Lectura a continuación

API de WordPress

Una de las vulnerabilidades aprovecha una ventaja menos segura Interfaz de código con el resto de WordPress-API. El resto-API es una característica que permite que los complementos se conecten con el CMS y realicen cambios dentro del sitio web.

La página de desarrollador de API de WordPress

lo describe así:

“La API de REST de WordPress proporciona una interfaz para que las aplicaciones interactúen con su sitio de WordPress enviando y recibiendo datos como objetos JSON (Notación de objetos Javascript).

Es la base del Editor de bloques de WordPress, y también puede habilitar su tema, complemento o aplicación personalizada para presentar interfaces nuevas y potentes para administrar y publicar el contenido de su sitio.

… lo más importante para entender Acerca de la API es que permite al editor de bloques y las interfaces de plugin modernas sin comprometer la seguridad o la privacidad de su sitio “

advertisementContinue Lectura a continuación

Técnicamente, cuando una interfaz de complemento está implementada firmemente por codificadores de complementos, El REST-API de WordPress no presenta un problema de seguridad.

Biblioteca de plantillas Gutenberg y vulnerabilidades marco REDUX

Hay dos vulnerabilidades. Ninguna de estas vulnerabilidades permite que un atacante se haga cargo de un sitio web.

Sin embargo las vulnerabilidades Do Permitir que los atacantes instituyan una serie de cambios que luego puedan conducir a una toma totalización del sitio.

La primera vulnerabilidad permite que un atacante con los permisos de nivel de colaborador o de autor para instalar cualquier complemento vulnerable que esté en el repositorio de WordPress y de Aproveche aquellas vulnerabilidades para ejecutar un ataque.

La segunda vulnerabilidad se describe como una vulnerabilidad de divulgación de información sensible no autenticada por la palabra.

La palabra “no autenticada” significa que el atacante no necesita Para ser iniciado sesión en el sitio de WordPress para ejecutar el ataque.

Esta vulnerabilidad en particular permitió a un atacante recuperar información confidencial sobre el sitio de WordPress. Esto permite al atacante identificar complementos vulnerables que pueden bE explotado.

Según WordFence:

“Esta acción de $ support_hash Ajax, que también estaba disponible para usuarios no autenticados, llamada función de soporte_args en REDUX- Core / Inc / Clases / Class-Redux-Helpers.php, que devolvió información potencialmente sensible, como la versión PHP, los complementos activos en el sitio y sus versiones, y un hash de MD5 sin sal del sitio Auth_Key y Secure_Auth_Key.

Esto sería más útil en los casos en que se instaló un complemento separado con una vulnerabilidad adicional, ya que un atacante podría usar la información para ahorrar tiempo y planificar una intrusión “.

AnunciCementContinue Reading a continuación Para actualizar sus complementos WordFence fomentó encarecidamente a todos los usuarios del complemento a actualizar a al menos verSion 4.2.13 de la biblioteca de la plantilla de Gutenberg y el complemento de WordPress Marco REDUX. Cita Lea el anuncio de WordFence Más de 1 millón de sitios afectados por Gutenberg Plantilla Biblioteca y Marco Redux Vulnerabilidades

Leave a Reply

Your email address will not be published. Required fields are marked *