Wordpress

WP-Slimstat deja vulnerables más de 1 millón de sitios con WordPress

seguridad shutterstock

Hace unas semanas les comentamos sobre una vulnerabilidad 0-Day en un popular plugin de WordPress que ponía en riesgo a medio millón de paginas web en Internet, bueno pues ayer la agencia de seguridad informática Sucuri misma que dio a conocer aquella vulnerabilidad a dado a conocer un nuevo riesgo para las paginas web hechas con WordPress, se trata de una importante y peligrosa vulnerabilidad en el plugin de estadísticas WP-Slimstat para WordPress que pone en riesgo a mas de un millon de paginas web creada con el popular gestor de blogs creado por Matt Mullenweg.

La vulnerabilidad anunciada por Sucuri en el plugin WP-Slimstat afecta a mas de 1.3 millones de paginas que estén utilizando versiones anteriores a la 3.9.6, la vulnerabilidad encontrada le permite a los atacantes realizar un SQL Injection en las paginas vulnerables gracias a un llave “secreta” que general el plugin Slimstat y que un atacante ingenioso podría adivinar con facilidad.

El atacante que aproveche esta vulnerabilidad puede conseguir información sensible de un sitio, incluso las contraseñas de los administradores y usuarios registrados, así como modificar los registros de la base de datos a su gusto.

La clave secreta utiliza por WP-Slimstat es sólo una versión MD5 de la fecha de instalación del plugin que puede ser adivinada fácilmente. De tal modo que con el uso de sitios como Internet Archive, un hacker podría identificar fácilmente la fecha en que un sitio web vulnerable fue publicado en Internet, para después generar el código MD5 necesario para identificar la clave “secreta” que el plugin envía en cada transacción de información.

Esto deja a un atacante una tarea para poner a prueba cerca de 30 millones de valores, que podrían completar en unos 10 minutos con la mayoría de las CPU modernos y algunas lineas de código. Una vez que la clave secreta ha sido detectado, el atacante puede utilizar esta para extraer datos sensibles de la base de datos.

Las personas con paginas web hechas con WordPress y que tengan instalado WP-Slimstat deben actualizar su plugin a la versión 3.9.6 de inmediato ya que esta vulnerabilidad afecta a prácticamente todas las versiones anteriores.

Enlace: WP-Slimstat | Sucuri Blog

Imagen por Crispy Fish Images © | Shutterstock

comment ¿Que opinas?

Artículos recientes

close

iPhone X Mockups en PSD gratis

La nueva terminal de Apple ha levantado revuelo con motivo de su diseño,  funciones y apabullante precio; no obstante este sigue siendo un gran modelo para presentar nuestros diseño de aplicaciones, plataformas y productos a…

close

Fotografía: Ingenioso difusor con una caja de Big Mac

El fotógrafo Philippe Echaroux se ha vuelto famoso por en el continente europeo al popularizar en su ámbito la práctica de “Hágalo usted mismo“; esto debido a que buscaba dar una alternativa para conseguir efectos fotográficos de…

close

Animales de papel por Makerie Studio

El papercraft es de las muestras de talento y arte más impresionantes que podemos encontrar; esto debido al nivel de destreza que estas conllevan al colocar perfectamente miles de piezas de papel de manera creativa….

close

Monedas inspiradas en personajes famosos

Roman Booteen es un artista de origen Ruso que ha realizado un magnífico homenaje a personajes de series animadas como parte de un proyecto personal. Estas monedas incluyen personajes como Bob Esponja, Montgomery Burns, Sonriente el gato…

close

Legopatatas, comida para fanáticos de LEGO

La comida creativa es algo que va fascinando a todos sin importar la profesión fanatismo relacionado con el producto; aún así, estas creativas creaciones culinarias son ideales para todos aquellos que se identifican con las…

close

Logotipos transformados en armas por Tom Galle

Es común ver como los creativos, diseñadores y artistas transforman logotipos en diferentes objetos diferentes al pensado al momento de su concepción creativa. Desde diseños minimalistas hasta  animaciones 3D son lo que podemos encontrar en…

notifications Recién publicamos
close