WordPress 4.2 permite ejecutar código malicioso

Publicado el 27 abril 2015
Archivado en General | Salir del comentario

Éramos muchos los que esperábamos con impaciencia la versión 4.2 de WordPress, el popular CMS que nos permite tener un blog en pocos pasos. Sin embargo, lo que no imaginábamos era que, con su lanzamiento, también se introducía un fallo que está dando a los administradores y desarrolladores más de un dolor de cabeza.

Wordpress

El aviso ya ha sido dado y está poniendo alerta a todas las personas que han instalado la versión. Según se ha comentado, el fallo estaría en los propios comentarios del sistema, los cuales permitirían tomar el control total con sólo ejecutar algunas líneas de código.

El método para aprovechar el fallo es bastante sencillo. Tan sólo tenemos que ir a cualquier blog que utilice WordPress en la versión afectada, e introducir el código como si fuera un comentario. En cuanto el administrador lo revise y lo apruebe, podremos acceder con todos los permisos. De hecho, si utilizamos una cuenta que sea genuina y no necesite esta revisión, la ejecución del código será inmediata.

Según se ha explicado, el atacante puede aprovechar el bug para cambiar la contraseña de administrador, crear nuevas cuentas de administración y, en definitiva, hacer lo que le permita la cuenta con más permisos del sistema. Algo bastante grave, ya que estaríamos hablando de tomar el control de todas las opciones de la página web atacada.

Aparte de esto, también tenemos más malas noticias: el problema todavía no tiene un parche que solucione el desaguisado. El equipo de WordPress ya debería estar trabajando, por lo que no hará falta esperar mucho hasta que podamos aplicar un parche lo suficientemente eficaz. Mientras tanto, las únicas recomendaciones que os podemos dar es que no instaléis esta nueva versión y que, en el caso de que ya lo hayáis hecho, desactivéis temporalmente los comentarios.

Estaremos muy atentos a alguna actualización que ponga solución al problema.

Vía | Ars Technica
Foto | kpgolfpro

Comentarios

No hay mas respuestas