En esta página: [esconder]
Los investigadores de seguridad descubrieron dos vulnerabilidades en un complemento de WordPress, esta vez afectando a más de 200,000 sitios web. El complemento PageLayer contiene dos XSS reflejados (secuencias de comandos entre sitios) fallas que podrían permitir a los actores de amenazas ejecutar código JavaScript malicioso en el navegador de un administrador. Esta actividad maliciosa podría llevar a la toma de control del sitio de WordPress objetivo.. El descubrimiento proviene del equipo de Wordfence.
La buena noticia es que Softaculous, los desarrolladores del complemento PageLayer, reaccionó rápidamente después de la divulgación. Ya está disponible un parche, y los usuarios del complemento deben aplicarlo de inmediato. La versión segura del complemento es PageLayer 1.3.5. Si su sitio web ejecuta un firewall específico con protección XSS incorporada, no te verás afectado por los problemas.
Detalles sobre las vulnerabilidades del complemento PageLayer
primero, expliquemos qué es XSS o cross-site scripting. En términos simples, la definición se aplica a una falla de seguridad que permite a un atacante inyectar scripts del lado del cliente (como JavaScript) en una página web para acceder a información crucial directamente. también, XSS se puede explotar para hacerse pasar por un usuario o engañar a un usuario para que revele información que el atacante quiere poseer.. Estos ataques’ los resultados incluyen secuestro de sesiones de usuario, desfigurar sitios web, o redirigir a los usuarios a sitios web maliciosos.
PageLayer es un creador de sitios web de arrastrar y soltar. Los dos defectos de XSS residen en su parámetro de tamaño de fuente y configuración de color. La primera vulnerabilidad está clasificada 6.1 en términos de severidad, lo que significa peligro medio.
El complemento PageLayer tiene una página de configuración, permitir a los diseñadores de sitios seleccionar la fuente y el color predeterminados que utiliza el creador de páginas. Estas opciones se aceptan a través de varios parámetros $ _POST” "Por ejemplo, cuerpo[tamaño de fuente] o h3[tamaño de fuente] podría usarse para establecer el tamaño de fuente para el cuerpo o las etiquetas h3, y color[antecedentes] podría usarse para establecer el color de fondo”,"Wordfence explica.
Una función particular, pagelayer_website_settings, se utilizó para modificar esta configuración. Contenía una verificación de capacidad y un nonce para que solo las solicitudes autorizadas pudieran aplicar cambios. sin embargo, si se envió una solicitud sin el parámetro de envío, el cambio no se guardaría, y la solicitud continuará en la función pagelayer_website_settings_T.
Esta función muestra formularios en la página de configuración” “Desafortunadamente, esta función también llamó a otras dos funciones que aceptaban la entrada del usuario para mostrar la configuración, y aquí es donde un atacante podría inyectar JavaScript malicioso que podría llevar a la toma de control de un sitio de WordPress”,” los investigadores informaron.
¿Qué pasa con la función pagelayer_website_color” “Si un atacante pudiera engañar a un administrador para que haga clic en un enlace que envió una solicitud POST que contiene un subparámetro de color como color[antecedentes] configurado en un script malicioso, ese script se ejecutará en el navegador del administrador”,” Wordfence agregado.
Más detalles técnicos están disponibles en el informe original.