Vulnerabilidad en WordPress 4.2

wordpress

Una nueva falla de seguridad se ha descubierto, es de tipo XSS, y afecta a la ultima versión de WordPress que desde el pasado jueves está disponible, la versión 4.2.

Debido a esta falla que también afecta a las versiones anteriores, el atacante puede inyectar un código JavaScript malicioso en los comentarios de WP, así sin ningún permiso alguno puede hacerse del acceso al blog y ejecutar código arbitrario en el servidor donde esta alojado como también en el mismo blog, de igual manera el atacante puede cambiar la contraseña de administrador, crear mas cuentas de usuario y técnicamente hacer cualquier cosa que un administrador puede hacer.

Si el comentario introducido es lo suficientemente grande como para truncar en la base de datos entonces tendrá efecto el fallo de seguridad,  El límite de tamaño de tipo TEXT de MySQL es de 64 KB, por lo que el comentario tiene que ser bastante largo.

Como solución apuntan que los comentarios deberían de ser desactivados, en el siguiente vídeo se muestra un ejemplo de como opera la vulnerabilidad.