Se ha descubierto una vulnerabilidad en la plataforma de blogging WordPress, que permite que atacantes tomen el control de sitios mediante comentarios con JavaScript malicioso, según reporta The Hill.

El exploit fue hallado por la firma finlandesa Klikky Oy, y para funcionar solo necesita de la inserción de estos comentarios en la sección correspondiente. El mensaje debe ser de al menos 64KB, con una longitud de 65.535 caracteres "A" según Forbes, necesarios para que se dispare el error que permite que se active el código.La investigación encontró que:

Las versiones actuales de WordPress son vulnerables a ataques de stored cross-site scripting (XSS). Un atacante no autenticado podría inyectar código de JavaScript en los comentarios de WordPress. Luego, el script inyectado se activaría al ver el comentario.

Si fuese un usuario administrador que se encuentra logueado quien desencadena la ejecución del script, con la configuración por defecto, podría suceder que el atacante logre la ejecución de código arbitrario en el servidor a través de los editores de temas y plugins.

Esta vulnerabilidad es similar a una que habían encontrado en noviembre de 2014. Pero esta vez, en vez de usar un caracter no válido para bloquear el comentario, se usa un mensaje excesivamente largo. Una similaridad entre ambos casos es que el código JavaScript inyectado parece no poder ser ejecutado en el Escritorio (Dashboard), por lo que los exploits parecen requerir llegar a la moderación de comentarios, por ejemplo, publicando un mensaje inofensivo antes. De esta manera, al tener previamente uno aprobado, sería más fácil la consecución del ataque.

Cuando un administrador con sesión iniciada visita la página, el navegador analiza el código sin ninguna acción adicional por parte del admin. Desde ahí, el atacante puede obtener acceso al servidor, cambiar la contraseña, crear nuevas cuentas o cualquier otra cosa que con esos permisos se puede hacer.

WordPress publicará un parche a través de actualización automática para proteger a muchos usuarios. En un comunicado a ReadWrite, Matt Mullenweg, CEO de Automattic (compañía que desarrolla WordPress) bajó la alarma respecto al potencial impacto del exploit, diciendo: "Es un problema importante, pero el número de sitios vulnerables es mucho menor del que podrían pensar, porque la gran mayoría de los que utilizan WordPress también usan [el plugin anti-spam] Akismet, que bloquea el ataque".

Claro que no todos los sitios usan Akismet, que cuesta entre 5 y 9 dólares por mes para sitios comerciales, y 50 mensuales para sitios de empresas. Para aquellos posibles afectados, los investigadores recomiendan deshabilitar los comentarios hasta que se emita un parche para esta vulnerabilidad.

Mientras tanto, considerando que no es poco frecuente la aparición de vulnerabilidades en WordPress, les recomendamos que lean estos consejos para saber cómo fortalecer la seguridad en WordPress.