Un fallo crítico en un plugin de WordPress permite controlar los sitios web
- Vulnerabilidades
Con más de 40.000 instalaciones activas, Simple Social Buttons es un plugin que permite a los usuarios agregar botones para compartir en las redes sociales en sus sitios web. El fallo permite a usuarios que no son administradores modificar las opciones de instalación de WordPress.
|
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Investigadores de WebARX han descubierto una vulnerabilidad crítica en el popular plugin de WordPress Simple Social Buttons, que permite a usuarios que no son administradores modificar las opciones de instalación de WordPress y, en última instancia, tomar el control completo de los sitios web.
Con más de 40.000 instalaciones activas, Simple Social Buttons es un plugin que permite a los usuarios agregar botones para compartir en las redes sociales en varias ubicaciones sus sitios web. El fallo permite la escalada de privilegios, de modo que usuarios que no son administradores pueden hacerse cargo de las cuentas de administrador o incluso de sitios web completos. Esto incluye el tipo de usuario suscriptor, cuyos permisos incluyen leer un sitio web, publicar comentarios y crear un perfil, pero no pueden editar la configuración o el contenido de los sitios. El único requisito para que un atacante aproveche esta vulnerabilidad es tener una cuenta de usuario registrada.
Los investigadores de WebARX señalan que la vulnerabilidad se debe a dos problemas en Simple Social Buttons: flujo de diseño de aplicaciones incorrecto y falta de verificación de permisos. Estas vulnerabilidades permiten que cualquier tipo de usuario cambie cualquier opción de la tabla de base de datos "wp_options", que es donde se encuentra la configuración de una instalación de WordPress. Se recomienda a los usuarios del plugin actualizar a la versión 2.0.22.
