Un millón de páginas Wordpress en peligro
La firma de seguridad Sucuri, especializada en seguridad web, ha anunciado el descubrimiento de una vulnerabilidad grave en Jetpack, el famoso plugin de Wordpress. El pugin está instalado en casi un millón de páginas web que podrían estar en peligro de ser infectadas por software malicioso.
Sucuri es una empresa tecnológica con cierto nombre focalizada en la seguridad web. En el pasado ha sido criticada por su política de comunicar públicamente los fallos de seguridad de algunos servicios de Internet, como hacen algunos hackers. De esta manera, intentan concienciar sobre la importancia de la seguridad en el software. Cabe decir en su defensa que tienen el compromiso de avisar primeramente a los desarrolladores con un cierto margen de tiempo.
Ésta vez le ha tocado el turno a Wordpress y a su popular plugin multiuso Jetpack. Sucuri ha detectado una grave vulnerabilidad que permitiría inyectar código javascript malicioso en las páginas web que lo usan.
Ésta vez le ha tocado el turno a Wordpress y a su popular plugin multiuso Jetpack. Sucuri ha detectado una grave vulnerabilidad que permitiría inyectar código javascript malicioso en las páginas web que lo usan.
Esta vez la vulnerabilidad ha afectado al módulo de Jetpack llamado "Shortcode incrustados" (Shortcode Embeds), una pequeña funcionalidad que permite que los lectores de nuestra página puedan añadir imágenes, vídeos y otros elementos multimedia en los comentarios.
Al parecer el error permitiría que un atacante incrustara código Javascript malicioso y robara así datos de nuestra página (incluso nuestras credenciales). Es lo que se conoce como una vulnerabilidad XSS (cross-site scripting).
Wordpress ya ha publicado una actualización de su software para resolver el problema, así que si estáis utilizando Jetpack es importante que actualicéis de inmediato o deshabilitéis temporalmente el plugin o el módulo en cuestión.
Al parecer el error permitiría que un atacante incrustara código Javascript malicioso y robara así datos de nuestra página (incluso nuestras credenciales). Es lo que se conoce como una vulnerabilidad XSS (cross-site scripting).
Wordpress ya ha publicado una actualización de su software para resolver el problema, así que si estáis utilizando Jetpack es importante que actualicéis de inmediato o deshabilitéis temporalmente el plugin o el módulo en cuestión.
Comentarios