WordPress corrige silenciosamente la vulnerabilidad de inyección de código peligrosa

Los desarrolladores del sistema de gestión de contenido de WordPress ampliamente utilizado lanzaron una actualización la semana pasada, pero retrasaron intencionalmente el anuncio de que el parche abordaba una vulnerabilidad grave.

La versión 4.7.2 de WordPress se lanzó el 26 de enero como una actualización de seguridad, pero las notas de la versión que se acompañan solo mencionaron soluciones para tres vulnerabilidades de riesgo moderado, una de las cuales ni siquiera afectó el código central de la plataforma..

El miércoles, una semana después, el equipo de seguridad de WordPress reveló que una cuarta vulnerabilidad, mucho más grave que las otras, también se parchó en la versión 4.7.2.

La vulnerabilidad fue descubierta por investigadores de la firma de seguridad web Sucuri y se informó de forma privada al equipo de WordPress el 20 de enero. Se encuentra en la API REST (interfaz de programación de aplicaciones) de la plataforma y permite a los atacantes no autenticados modificar el contenido de cualquier publicación o página dentro de un Sitio de WordPress.

"Creemos que la transparencia es lo mejor para el público", dijo el desarrollador principal de WordPress Aaron Campbell en una publicación de blog el miércoles. "Creemos que los problemas de seguridad siempre deben divulgarse. En este caso, retrasamos intencionalmente la divulgación de este problema por una semana para garantizar la seguridad de millones de sitios adicionales de WordPress".

Según Campbell, después de enterarse de la falla, los desarrolladores de WordPress se pusieron en contacto con compañías de seguridad que mantienen firewalls de aplicaciones web (WAF) populares para que puedan implementar reglas de protección contra posibles ataques. Luego se contactaron con grandes empresas de alojamiento de WordPress y les aconsejaron sobre cómo implementar protecciones para sus clientes antes de que se lanzara un parche oficial.

La vulnerabilidad solo afecta a WordPress 4.7 y 4.7.1, donde la API REST está habilitada de forma predeterminada. Las versiones anteriores no se ven afectadas, incluso si tienen el complemento REST API.

"También nos gustaría agradecer a los WAF y a los anfitriones que trabajaron estrechamente con nosotros para agregar protecciones adicionales y monitorearon sus sistemas en busca de intentos de utilizar esta vulnerabilidad en la naturaleza", dijo Campbell. "Hasta el día de hoy, hasta donde sabemos, no ha habido intentos de explotar esta vulnerabilidad en la naturaleza".

Si bien son buenas noticias, no significa que los atacantes no comenzarán a explotar esta vulnerabilidad ahora que la información está fuera. WordPress es la plataforma de creación de sitios web más popular, lo que la convierte en un objetivo muy atractivo para los hackers..

Los webmasters deben asegurarse de actualizar sus sitios de WordPress a la versión 4.7.2 tan pronto como sea posible si aún no lo han hecho..

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.