Terror en WordPress: Investigadores españoles descubren 5.000 fallos de seguridad en complementos – Hispasec Sistemas

Una al Día
Boletín de noticias de Seguridad Informática ofrecido por Hispasec
Por Deja un comentario
El ecosistema WordPress nunca se ha caracterizado por su robusta seguridad. Sin embargo, puede llegar a impresionar el número de fallos que se pueden encontrar en una sola investigación llevada a cabo por expertos en la materia.
Tal es así, que después de realizar un análisis de 84.508 complementos de WordPress, los investigadores de seguridad españoles Jacinto Sergio Castillo Solana (Serchi3) y Manuel García Cárdenas (hypnito) descubrieron más de 5,000 vulnerabilidades, incluidas 4,500 fallas de inyección SQL (SQLi).
«Hemos encontrado hasta 250 vulnerabilidades diferentes en el mismo complemento.»
Por su parte, el líder de la plataforma Tim Nash agradeció a los dos investigadores su labor realizada, pero expresó sus dudas al respecto por los posibles falsos positivos que la investigación pudiera haber arrojado.
«Las herramientas automatizadas son una forma increíblemente valiosa de probar vulnerabilidades y, cuando se usan de manera efectiva, pueden ayudar a los desarrolladores a aplicar parches de manera rápida y efectiva. Confiar únicamente en una herramienta automatizada para un informe de vulnerabilidad no sería mi elección de enviar un informe»
Ante las declaraciones de Nash, Manuel García respondió que habían verificado parte de ellas manualmente y que piensan que la mayoría son vulnerables.
De esta investigación surgió el desarrollo de la herramienta «WordPress Terror», la cuál fue presentada en la conferencia Rooted CON pero que no tiene planes inmediatos de ser liberada al mundo según han especificado.
Otra historia de terror en WordPress con @hypnito y @Serchi3. Ojo con la traducción del andaluz al inglés nos dice Manu xD #sala25 #Rooted2020 pic.twitter.com/HoVdbx8qM0
Desde Hispasec recomendamos mantener actualizados todos los complementos de sus sistemas WordPress y realizar auditorías de manera periódica para afianzar su seguridad.
Más información:
https://portswigger.net/daily-swig/wordpress-terror-researchers-discover-a-massive-5-000-security-flaws-in-buggy-plugins
Publicado en: General, Vulnerabilidades
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *









Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.
Una Al Día nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.
Copyright © 2022 · Hispasec Sistemas, S.L. Todos los derechos reservados

source

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *