Traducido del artículo “All in One SEO 2.3.7 Patches Persistent XSS Vulnerability” de:
Jeff Chandler, julio 11 de 2016
Semper Web Design Fi, la compañía detrás de All in One SEO, un popular plugin de optimización SEO WordPress, activo en sitios de más de 1M, ha lanzado 2.3.7 un parche para una vulnerabilidad de seguridad XSS persistente.
De acuerdo con los cambios del plugin, 2.3.7, desinfecta el módulo árbitro Bad Bots referido y el agente de usuario. A pesar de que no suena significativa en la superficie, esta vulnerabilidad puede permitir a los usuarios anónimos almacenar su carga en el panel de WordPress, simplemente visitando el sitio público con un agente de usuario con formato incorrecto o cabecera de referencia malhecha.
La vulnerabilidad fue reportada por David Vaartjes y se encuentra dentro de la funcionalidad del Bot Blocker (bloqueador) que se utiliza para bloquear ciertos robots o arañas de los buscadores cuando rastrean un sitio.
“Cuando el agente de usuario contiene uno de la lista preconfigurada de nombres como bot, tal como ‘Abonti’, ‘Bullseye’ o ‘Exabot’ la solicitud se bloquea y se devuelve un error 404,” dijo Vaartjes.
“Si el ajuste ‘Track Blocked Blots” está activado (no por defecto), las solicitudes bloqueadas se registran en la página HTML sin la desinfección adecuada o codificación de salida, lo que permite XSS.”
Los que tienen “Track Blocked Bots” inactivo no son susceptibles a esta vulnerabilidad, pero se les aconseja actualizar a la última versión del plugin para protegerse de ella. All in One SEO 2.3.7 está disponible de forma gratuita en el directorio de plugins de WordPress.
Quién es Jeff Chandler
Jeff Chandler es un joven de WordPress forma parte del equipo deportivo estatal. Escritor colaborador de WPTavern. Ha escrito acerca de WordPress desde 2007. Anfitrión del Podcast semanal WordPress.
https://www.youtube.com/embed/z-xGk9c_eOw Guionista y locutor: Manuel Ignacio López Quintero.Fecha de publicación: 31 de diciembre de 2024.
Ver comentarios