Desarrolladores de Automattic, la casa matriz de la plataforma WordPress, corrigieron un error de Cross-Site Scripting (XSS) en Akismet esta semana, un plugin antispam que se encuentra en millones de sitios web.

El fallo fue corregido el jueves con la actualización 3.1.5, de acuerdo con Christopher Finke, ingeniero de Automattic que colabora en Akismet.

Akismet filtra el spam de los comentarios legítimos y enlaces de referencia en los sitios WordPress. A punto de entrar en su décimo año, el servicio presume de contar con tres millones de usuarios.

Investigadores de Sucuri, quienes descubrieron el fallo a inicio de este mes, lo describen como peligroso en una publicación. La vulnerabilidad es explotable actualmente mediante la sección de comentarios de los sitios que ejecutan el plugin Akismet en versiones anteriores a la 2.5.0. El error se deriva de la opción antispam de emoticones llamada "convertir emoticonos como :) y :P en gráficas para mostrar". El cual, al parecer, se encuentra habilitado por defecto para las nuevas configuraciones de WordPress. Un atacante puede inyectar scripts maliciosos en la sección de comentarios del panel de administración, advierte Sucuri.

Si se usa el código correcto, un atacante puede romper ciertos atributos del título, insertar nuevos parámetros y confundir al navegador, engañándolo para ejecutar un payload.

WordPress señala que Akismet (incluso en versiones anteriores) estaba técnicamente listo para bloquear intentos de ataques durante la llamada a la API de revisión de comentarios y, por lo que se sabe, la vulnerabilidad no se ha explotado activamente aún.

Finke también señaló que el equipo de desarolladores de plugins para WordPress.org publicó una actualización automática esta semana para los sitios que ejecutan la versión vulnerable.