Una serie de vulnerabilidades en Fastest Cache, un popular plugin de WordPress, permitirían a los actores de amenazas obtener acceso a credenciales de usuario y tomar control de una cuenta de administrador. Según el reporte, Fastest Cache tiene más de un millón de usuarios activos, por lo que los errores de seguridad tienen un alcance considerable.
Las fallas fueron reportadas por los investigadores de Jetpack Security, especializados en la detección de vulnerabilidades que afectan a este y otros sistemas de gestión de contenido (CMS).
La primera de estas fallas fue descrita como un error de inyección SQL que podría ser explotado por hackers maliciosos para acceder a información confidencial almacenada en la base de datos de un sitio comprometido, aunque se destaca que la falla solo puede ser explotada si el plugin de edición clásico también está instalado en el sitio objetivo.
Esta vulnerabilidad recibió un puntaje de 7.7/10 según la escala del Common Vulnerability Scoring System (CVSS).
Otra falla severa fue descrita como un error de scripts entre sitios (XSS) explotable mediante un ataque de falsificación de solicitudes entre sitios (XSRF) y cuya explotación permitiría a los actores de amenazas realizar actividades propias de un usuario con privilegios de administrador. Esta falla recibió un puntaje CVSS de 9.6/10.
En su reporte, los investigadores de Jetpack proporcionaron más detalles técnicos sobre los métodos empleados para demostrar los ataques, además de atribuir al investigador Marc Montpas el reporte inicial.
Los desarrolladores del plugin afectado lanzaron las actualizaciones correspondientes un mes después de recibir el reporte, por lo que los usuarios de Fastest Cache deberán actualizar su implementación a la versión 0.9.5 para mitigar por completo el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.