El peligro tras el plugin
El plugin en cuestión, OMGF | GDPR/DSGVO Compliant, es una herramienta popular para optimizar el uso de Google Fonts. Sin embargo, según los expertos, presenta una grave vulnerabilidad que permite a atacantes no autenticados borrar directorios y cargar scripts maliciosos.
Esta vulnerabilidad es especialmente preocupante porque no requiere que el atacante esté registrado en el sitio, lo que eleva el nivel de riesgo. Según la fuente, esta falla permite la eliminación de directorios y la carga de ataques de Cross-Site Scripting (XSS).
¿Qué es el Cross-Site Scripting (XSS)?
El XSS es un tipo de ataque donde se suben scripts maliciosos a un servidor web. Estos pueden atacar a los visitantes del sitio, accediendo a su información de sesión o cookies. Según los expertos, esto podría permitir al atacante asumir el nivel de privilegio del usuario que visita el sitio.
La raíz del problema
La causa de esta vulnerabilidad, identificada por los investigadores de Wordfence, es la falta de una verificación de capacidades. Esto es esencial para determinar si un usuario tiene acceso a una función específica del plugin, en este caso, una función a nivel de administrador.
Según una página oficial de desarrolladores de WordPress, la verificación de capacidades es crucial para asignar permisos específicos a los usuarios o roles de usuario. Wordfence describe la vulnerabilidad como una modificación de datos no autorizada y XSS almacenado debido a la falta de esta verificación en la función update_settings().
¿Qué sigue?
Wordfence señala que las actualizaciones anteriores intentaron cerrar esta brecha de seguridad, pero consideran que la versión 5.7.10 es la más segura del plugin. Si eres usuario de OMGF, es hora de actualizar y proteger tu sitio.
Fuente:https://www.searchenginejournal.com/wordpress-google-fonts-plugin-vulnerability-affects-up-to-300000-users/504869