Millones de sitios de WordPress amenazados por una nueva brecha de seguridad
El problema radica en plugins y temas que aprovechan el paquete ‘genericons’ bajo una vulnerabilidad XSS.
La instalación de una vulnerabilidad en determinados plugins de WordPress pone en riesgo a millones de sitios web.
El investigador de seguridad David Dede ha advertido que esta brecha cross-site scripting (XSS) instalada en el plugin Twenty Fifteen del popular gestor de contenidos se incorpora en nuevos sitios por defecto.
Además, el plugin JetPack, ofrecido por WordPress, también es vulnerable a esta brecha. Este plugin, que ofrece herramientas de personalización, análisis de tráfico, compatibilidad móvil y nuevos widgets, se está utilizando en más de un millón de sitios web.
Los hackers podrían utilizar la brecha para ejecutar Javascript dentro de un navegador y secuestrar un site de WordPress insertando código malicioso.
No obstante, Dede ha manifestado que igual que es fácil explotar la vulnerabilidad también es sencillo repararla, simplemente eliminado el archivo ‘genericons/example.html’ incorporado en los plugins.