Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Yoast corrige vulnerabilidad XSS en su complemento de Google Analytics
El jueves Yoast ha parchado una vulnerabilidad de Cross Site Scripting en su complemento para Wordpress de Google Analytics, el cual era vulnerable a ejecución remota de código.
El complemento ha sido descargado 6.8 millones de veces de acuerdo con las estadísticas en el sitio web de Yoast; quienes dijeron que al parecer la falla no ha sufrido explotación pública. El complemento monitorea el tráfico del sitio web y provee a los administradores del sitio con el número de visitas y otros datos relevantes.
La vulnerabilidad fue descubierta el miércoles por el investigador finlandés Jouko Pynnonen y fue parchada en menos de un día.
Pynnonen explicó en un aviso publicado en la lista de correo Full Disclosure que un atacante podría guardar código Javascript o HTML malicioso en el panel de administración y el código se ejecutaría al visitar el panel de configuración del complemento de Yoast. Esto es posible sin ningún tipo de autenticación.
"Esto es posible debido a que el desarrollador olvidó implementar el control de acceso y cualquiera podía modificar la configuración" dijo Pynnonen al sitioThreatpost.
"El atacante puede conectar el sitio web objetivo con su propia cuenta de Google Analytics. Algunos datos mostrados en el panel de WordPress provienen de Google. Ahora el atacante puede controlar dicha información y puede inyectar código Javascript".
Joost de Valk de Yoast mencionó en una publicación en el sitio web de la compañía que el atacante podía cambiar la lista de perfiles en Google Analytics, pero no era capaz de cambiar código activo, y el seguimiento de sitio web no se vería afectado.
"Esta lista de perfiles puede volverse maliciosa debido a que Google Analytics permite nombres de propiedades que tienen embebido código Javascript. En ese punto, un administrador que visita el panel de configuración puede ser víctima de un ataque de Cross-site Scripting almacenado debido a que nosotros no sanitizamos correctamente los nombres de las propiedades en la salida" dijo De Valk.
"Esto no es algo que un atacante podría automatizar facilmente... pero si alguien decide enfocarse en tu sitio web, podría explotarlo".
Yoast recomendó a los usuarios actualizar a la versión 5.3.3. de su complemento gratuito; los usuarios Premium deben actualizar a la version 1.2.2.
