Wordpress

WP-Slimstat deja vulnerables más de 1 millón de sitios con WordPress

seguridad shutterstock

Hace unas semanas les comentamos sobre una vulnerabilidad 0-Day en un popular plugin de WordPress que ponía en riesgo a medio millón de paginas web en Internet, bueno pues ayer la agencia de seguridad informática Sucuri misma que dio a conocer aquella vulnerabilidad a dado a conocer un nuevo riesgo para las paginas web hechas con WordPress, se trata de una importante y peligrosa vulnerabilidad en el plugin de estadísticas WP-Slimstat para WordPress que pone en riesgo a mas de un millon de paginas web creada con el popular gestor de blogs creado por Matt Mullenweg.

La vulnerabilidad anunciada por Sucuri en el plugin WP-Slimstat afecta a mas de 1.3 millones de paginas que estén utilizando versiones anteriores a la 3.9.6, la vulnerabilidad encontrada le permite a los atacantes realizar un SQL Injection en las paginas vulnerables gracias a un llave “secreta” que general el plugin Slimstat y que un atacante ingenioso podría adivinar con facilidad.

El atacante que aproveche esta vulnerabilidad puede conseguir información sensible de un sitio, incluso las contraseñas de los administradores y usuarios registrados, así como modificar los registros de la base de datos a su gusto.

La clave secreta utiliza por WP-Slimstat es sólo una versión MD5 de la fecha de instalación del plugin que puede ser adivinada fácilmente. De tal modo que con el uso de sitios como Internet Archive, un hacker podría identificar fácilmente la fecha en que un sitio web vulnerable fue publicado en Internet, para después generar el código MD5 necesario para identificar la clave “secreta” que el plugin envía en cada transacción de información.

Esto deja a un atacante una tarea para poner a prueba cerca de 30 millones de valores, que podrían completar en unos 10 minutos con la mayoría de las CPU modernos y algunas lineas de código. Una vez que la clave secreta ha sido detectado, el atacante puede utilizar esta para extraer datos sensibles de la base de datos.

Las personas con paginas web hechas con WordPress y que tengan instalado WP-Slimstat deben actualizar su plugin a la versión 3.9.6 de inmediato ya que esta vulnerabilidad afecta a prácticamente todas las versiones anteriores.

Enlace: WP-Slimstat | Sucuri Blog

Imagen por Crispy Fish Images © | Shutterstock

comment ¿Que opinas?

Artículos recientes

close

Eat me, una colección tipográfica con letras de caramelo

  Massimo Gammacurta es el responsable de la creación de esta colección tipográfica inspirada en caramelos; estas ilustraciones creativas que reciben el nombre de “Eat me” representan de alguna manera mediante colores y texturas brillantes…

close

play_circle_outline Animación que explica la teoría del color para diseñadores

El día de hoy quiero compartir con ustedes una animación que explica de manera eficiente y convincente los aspecto más importantes de la teoría del color. Esta animación nos lleva desde los aspectos más fundamentales…

close

play_circle_outline Vídeo: Evolución de las cámaras Canon EOS en 30 años

Este es un simple vídeo que muestra la evolución de las cámaras Canon EOS desde hace 30 años, algo que seguro traerá un poco de nostalgia a todos los Canonistas que visitan este blog al…

close

La Biblia del Churrasco, un ejemplo de diseño interactivo que debes conocer

El día de hoy quiero compartir con ustedes un peculiar ejemplo de diseño interactivo desarrollado por el director creativo Lucas Reis; este diseño forma parte de trabajo para la marca de utensilios de cocina Tramontina,…

close

play_circle_outline Este es el primer trailer internacional de Justice League

El día de ayer se dio a conocer el primer trailer internacional de Justice League o lo que es lo mismo “La liga de la justicia“; cabe señalar, que en este nuevo trailer no se…

close

Gothan Brewery, creativo diseño de packaging inspirado en personajes de DC Comics

La inspiración puede venir de cualquier parte desde un sueño hasta el amor por nuestro personaje o universo favorito; tal es el caso del estudiante de diseño Dmitry Kultygin quien ha realizado un genial proyecto de…

notifications Recién publicamos
close