Por defecto WordPress parches de seguridad que los usuarios abiertos a los ataques de inyección contenidos


WordPress esperó revelar un error de endpoint API REST que hace sitios web utilizando WordPress 4.7 y 4.7.1 vulnerables a los ataques de inyección de contenido con el fin de proteger los sitios mientras que una actualización de seguridad se ha desplegado en WordPress 4.7.2 según un artículo publicados el miércoles por contribuyente base WordPress blog de Aaron Campbell.

el investigador de seguridad Marc Sucuri – Alexandre Montpas alertar al equipo de seguridad de vulnerabilidad de WordPress el 20 de enero, por el que ha trabajado con Sucuri coordinar comunicación con parches esfuerzos.

“Debido a este problema de esterotipos, entonces es posible que un usuario malintencionado modificar el contenido de cualquier post o página en el sitio de la víctima”, Montpas escribió en un blog en el sitio web de Sucuri. “A partir de ahí, puede Agregar plugin específico shortcodes para explotar vulnerabilidades (que de lo contrario se limita a las funciones de colaborador), infectar el contenido con una campaña de spam de la referencia del sitio, o inyectar anuncios, etcetera..”. ¿

Vea también: son características de WordPress SSL sólo una buena idea para la seguridad de WordPress?

Montpas también señaló que según el sitio web plugins, los atacantes también ejecutan código PHP a través de la vulnerabilidad. El investigador felicitó al equipo de WordPress para manejar la situación “extremadamente bien”.

entretanto entre revelación pública y discurso de apertura de Sucuri a WordPress, WordPress hosts y cortafuegos, incluyendo proveedores de Sucuri, SiteLock, CloudFlare y Incapsula fueron informados. Akamai también ha sido informado y controlar el tráfico de internet de posibles intentos de aprovechar esta vulnerabilidad, observando el miércoles que había encontrado ninguno.

leer más: ¿por qué el resto API de WordPress es un gran problema?

, “Creemos que la transparencia es en el interés público”, escribió Campbell. “Nuestra posición es que cuestiones de seguridad siempre deben ser explicadas. En este caso, nos retrasó intencionalmente revelar este problema dentro de una semana para garantizar la seguridad de millones de sitios web adicionales de WordPress. “

encontrar el equilibrio adecuado entre la gente de la advertencia y no para actores maliciosos de vulnerabilidades puede plantear desafíos para las empresas de internet, según lo evidenciado por una ruptura pública entre Google y Microsoft en el año 2015.