Una vulnerabilidad del complemento Rank Math afecta a más de 2 millones de sitios web de WordPress. La falla, identificada como una vulnerabilidad de secuencias de comandos almacenadas entre sitios (XSS) o CVE-2024-2536, plantea un riesgo grave, ya que podría permitir a actores maliciosos inyectar y ejecutar secuencias de comandos dañinas, dejando los datos confidenciales expuestos a riesgos.
Rank Math, un complemento sofisticado para sitios web de WordPress, ha sido durante mucho tiempo el favorito de los usuarios que buscan optimizar sus esfuerzos de SEO sin tener que hacer malabarismos con múltiples complementos. Para mitigar la falla, los desarrolladores detrás del complemento han lanzado parches de seguridad para mitigar la vulnerabilidad.
Explicación de la vulnerabilidad del complemento Rank Math
Según investigadores de seguridad de Wordfence, la vulnerabilidad del complemento Rank Math, descubierta por el investigador Ngô Thiên An (ancorn_), se remonta al manejo de atributos por parte del complemento dentro del bloque HowTo, que prevalece en todas las versiones hasta la 1.0.214 inclusive.
Esta supervisión en la limpieza de entradas y el escape de salidas hace que los atacantes autenticados, con acceso de nivel de colaborador o superior, sean capaces de implantar scripts web arbitrarios. En consecuencia, estos scripts pueden ejecutarse cada vez que un usuario accede a la página afectada, comprometiendo potencialmente las sesiones de usuario y los datos confidenciales.
“El complemento Rank Math SEO con AI SEO Tools para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través de los atributos de bloque HowTo en todas las versiones hasta la 1.0.214 inclusive debido a una desinfección de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario” , dijo Wordfence.
¿Qué es la vulnerabilidad de secuencias de comandos entre sitios almacenadas (XSS)?
Las vulnerabilidades XSS almacenadas como esta permiten a los atacantes cargar scripts maliciosos, lo que genera ataques basados en el navegador que podrían resultar en el robo de cookies de sesión, permitiendo así el acceso no autorizado a sitios web y la filtración de información crítica.
La causa principal de esta vulnerabilidad radica en una limpieza de entrada insuficiente y un escape de salida, errores comunes en el desarrollo de complementos que permiten que se manifiesten vulnerabilidades XSS, particularmente en áreas donde los usuarios pueden cargar o ingresar datos.
“Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada”, añadió Wordfence.
La desinfección de entradas implica filtrar entradas no deseadas, como scripts o HTML, garantizando que solo se procesen las entradas de texto esperadas. El escape de salida, por otro lado, verifica la salida del sitio web para evitar que scripts maliciosos lleguen al navegador del sitio web.
Afortunadamente, Rank Math solucionó rápidamente este problema lanzando parches para rectificar la vulnerabilidad. Se recomienda encarecidamente a los administradores de sitios web que actualicen su complemento Rank Math SEO a la última versión sin demora para proteger la situación de seguridad de su sitio web.
Descargo de responsabilidad para los medios: este informe se basa en investigaciones internas y externas obtenidas a través de diversos medios. La información proporcionada es sólo para fines de referencia y los usuarios asumen toda la responsabilidad por su confianza en ella. Cyber Express no asume ninguna responsabilidad por la exactitud o las consecuencias del uso de esta información.
Relacionado
Fuente Original The Cyber Express
