WordPress es el sistema de gestión de contenido (CMS) más popular del mundo, y los administradores de estos sitios emplean una gran variedad de plugins para complementar algunos aspectos estéticos y funcionalidades, generando un ecosistema de trabajo complementario. No obstante, como cualquier otro desarrollo de software, los plugins de WordPress pueden presentar vulnerabilidades de seguridad que los cibercriminales buscan explotar para beneficio propio.
En esta ocasión, expertos en forense digital reportan el hallazgo de una vulnerabilidad en Code Snippets, un popular plugin que, actualmente cuenta con al menos 200 mil instalaciones activas. Gracias a este plugin, los administradores pueden añadir la opción “Snippets” a su menú de WordPress, lo que les permitirá gestionar, añadir o importar fragmentos de código.
De ser explotada, la vulnerabilidad permitiría a cualquier usuario falsificar solicitudes a nombre del administrador, gracias a lo cual se podría inyectar código malicioso en el sitio web objetivo.
La vulnerabilidad es seria y, en los peores casos, podría permitir a los actores de amenazas tomar control total del sitio afectado. Al tratarse de fallas en herramientas ampliamente utilizadas, los expertos en forense digital deben actuar con prontitud y comenzar a trabajar en la corrección de las vulnerabilidades antes de que los cibercriminales encuentren la forma de explotar estas fallas.
Al parecer, la vulnerabilidad está presente en todas las versiones de Code Snippets anteriores a 2.13.3; los mantenedores del plugin recibieron el reporte a la brevedad, por lo que la falla será corregida con el lanzamiento de la versión 2.14.0.
¿En qué consiste la vulnerabilidad?
La falsificación de solicitudes entre sitios (usualmente abreviada como XSRF), ocurre cuando se envían comandos no autorizados desde un usuario en el que confía determinada aplicación web. Cuando un sitio es vulnerable a esta falla, es posible engañar al administrador para crear una cuenta con altos privilegios o, en su defecto, el hacker puede infectar a los visitantes del sitio web comprometido, extraer sus credenciales de inicio de sesión y otros datos confidenciales, mencionan los expertos en forense digital.
Aún no se reportan casos de explotación en escenarios reales, no obstante, se recomienda encarecidamente a los usuarios de este plugin actualizar a la versión más reciente disponible.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.