La banco de información nacional de inseguridades (NVD) del gobierno de EE. UU. emitió una observación sobre el complemento de WordPress Shortcodes Ultimate, advirtiendo que se encontró que tiene dentro una puerta de inseguridad de falsificación de petición entre sitios.
Shortcodes Ultimate es un complemento de WordPress muy habitual que tiene mucho más de 700,000 instalaciones activas.
La puerta de inseguridad perjudica a las ediciones del complemento precedentes a la versión de hoy 5.12.2.
Puerta de inseguridad de falsificación de petición entre sitios
La falsificación de peticiones entre sitios, generalmente famosa como CSRF, es un género de puerta de inseguridad que, en el peor caso, puede conducir a la toma completa del ubicación.
Este género de inseguridades por norma general son ocasionadas por un defecto de programa que puede desatar un cambio que entonces tiene la posibilidad de tener secuelas no deseadas.
Un ataque exitoso por norma general es dependiente de un usuario, por poner un ejemplo con permisos de gestor, que clickea en un link y revela información sin percatarse, como una cookie de sesión, que entonces se puede emplear para suplantar a esa persona.
Este género de puerta de inseguridad se apoya en la ingeniería popular, que manipula a un usuario final a fin de que complete una acción que entonces explota la puerta de inseguridad del complemento.
Según Abra el emprendimiento de seguridad de la app web. (OWASP):
“CSRF es un ataque que engaña a la víctima a fin de que mande una petición maliciosa.
Heredar la identidad y los permisos de la víctima para efectuar una función no deseada representando a la víctima…
Para la mayor parte de los sitios, las peticiones del navegador tienen dentro de manera automática todas y cada una de las credenciales socias con el lugar, como la cookie de sesión del usuario, la dirección IP, las credenciales del dominio de Windows, etcétera.
Por consiguiente, si el usuario está hoy en día conectado al ubicación, el ubicación no va a tener forma de distinguir entre la petición falsificada mandada por la víctima y una petición lícita mandada por la víctima».
Banco de información de puerta de inseguridad nacional (NVD)
La banco de información nacional de inseguridades ha anunciado solo ciertos datos sobre la puerta de inseguridad. Hoy en día, no hay un análisis completo de la puerta de inseguridad en sí.
El aviso de NVD publicó lo siguiente:
«Puerta de inseguridad de falsificación de petición entre sitios (CSRF) en Shortcodes Ultimate <= 5.12.0 complemento en WordPress, lo que transporta a que se cambie la configuración ya establecida del complemento".
oficial Último registro de cambios de shortcode de GitHub fue del mismo modo haragán, describiendo la actualización para corregir la puerta de inseguridad:
«### 5.12.1
**Despacho aduanero de seguridad**
Esta actualización soluciona una puerta de inseguridad de seguridad en el generador de shortcode. Merced a Dave John por encontrarlo.
Hasta entonces, el repositorio de complementos de WordPress El registro de cambios enseñaS:
«Se resolvió el inconveniente con los cambios preestablecidos del generador de shortcode introducidos en la actualización previo»
El registro de cambios previo semeja haber escrito mal el nombre del estudioso de seguridad, que está escrito adecuadamente david jong, CTO de Patchstackla persona a la que se le asigna haber descubierto y informado la puerta de inseguridad.
Curso de acción sugerido
Los editores de WordPress que hoy en día utilizan el complemento Shortcodes deberían estimar actualizar a la última versión, que en el instante de redactar este producto es en la actualidad la versión 5.12.2.
mencionado
Lea el aviso de la Base de Datos Nacional de Puerta de inseguridad
Lea el aviso de Patchstack
Imagen cortesía de Shutterstock/Cookie Studio
Fuente: searchenginejournal
Hashtags: #puerta de inseguridad #shortcode #WordPress #tiene #encontronazo #definitivo #sitios
Comentarios recientes