Un fallo en Jetpack de Wordpress expone millones de páginas webs
En las últimas horas se ha dado aviso de un fallo grave de seguridad en Wordpress que afecta a su famoso módulo Jetpack y que habilita el robo de las credenciales de usuario ante cualquier atacante externo. Se urge que todos los administradores web que tengan activado este popular módulo lo desactiven o bien actualicen a su versión corregida.
Jetpack es, posiblemente, el plug-in más popular del que suelen hacer uso los administradores de webs bajo el sistema de software de gestión de contenido Worpdress. Este plug-in añade distintos extras al panel de control de Wordpress para una mejor administración y funciones mediante unos módulos que se pueden ir activando de manera independiente.
Jetpack está desarrollado por Automatic, la misma empresa tras Wordpress, y tras conocerse el fallo de seguridad, ya se encuentra disponible una actualización que todo usuario debe acatar para no entrar en riesgos. La firma de investigación Sucuri ha sido la encargada de dar la voz de alarma tras encontrar una vulnerabilidad XSS (stored cross-site scripting) que afecta a todos los Jetpack posteriores al 2012, exactamente desde la versión 2.0.
El fallo de seguridad se localiza en concreto en el módulo Shortcode Embeds Jetpack que permite la inclusión de vídeos externos, imágenes y documentos en los post y comentarios. Lo que hace peligrosa a esta vulnerabilidad es que es fácilmente explotable mediante la inyección de código malicioso JavaScript permitiendo al atacante robar las cookies del usuario (incluidas las credenciales de acceso) o incluso redirigirlo a exploits.
Aunque no tengas el módulo Shortcode Embeds activado, es totalmente recomendable que se actualice a la nueva versión de Jetpack y Wordpress para no arriesgarse con una vulnerabilidad que habría expuesto millones de páginas webs en todo el mundo.
[Fuente: PCWorld]
Descubre más sobre David Hernández, autor/a de este artículo.
Conoce cómo trabajamos en Computerhoy.