Los chicos de Wordfence avisaron el 26 de Mayo 2016 de dos vulnerabilidades importantes en el plugin WP Fastest Caché.
Esta es la entrada que publicamos en El Taller del Bit después de recibir el aviso de alerta de Wordfence. Sigue leyendo para conocer todos los detalles
ATENCIÓN: PLUGIN REALMENTE ACTUALIZADO Y PARCHEADO (26/05/2016 23:15 p.m. Hora de España)
En este caso se ha detectado en WP Fastest Caché :
Una vulnerabilidad de inclusión de archivo local y una vulnerabilidad de las opciones de actualización.
La vulnerabilidad de inclusión de archivo local permite a un atacante ejecutar código en el servidor web de destino o en el navegador de un visitante del sitio. Esto permite al atacante robar o manipular datos, llevar a cabo un ataque de denegación de servicio o habilitar los tipos de ataques adicionales, tales como Cross Site Scripting. Wordfence Firewall proporciona protección contra este tipo de ataque antes de haber sido descubierto.
La vulnerabilidad en las opciones de actualización permite a un atacante acceder y realizar cambios en las opciones de CDN (Content Delivery Network) de la página web. Con este control, un atacante puede dirigir todas las peticiones de archivos CSS, imágenes, vídeos, etc. a su sitio, lo que les permite servir contenido malicioso a los visitantes del sitio vulnerable.
Si bien se supone que el autor del plugin lo ha actualizado, todos los usuarios se preguntan qué ocurre, puesto que en el gestor de actualizaciones de WordPress no aparece ninguna actualización pendiente para el plugin, y la versión del plugin sigue siendo la misma que hace 21 dias, la 0.8.5.7.
En la página de Wordfence donde avisan de las vulnerabilidades descubiertas en WP Fastest Caché, Dan Moen afirma que la última versión del plugin incluye un parche para la vulnerabilidad, pero entonces, ¿hemos de actualizarlo manualmente por FTP? …
El autor del plugin hace oidos sordos a las preguntas de los usuarios en la página del plugin en WordPress.org (los usuarios preguntan lo mismo: si el plugin está actualizado… ¿dónde está la nueva actualización?):
Tema en la página del plugin: Reporte de Wordfence
¡¡¡ ACTUALIZACIÓN !!! (26/05/2016 23:15 p.m. Hora de España)
Parece que ahora sí que sí, el plugin ha sido actualizado y ha aparecido una nueva versión del plugin WP Fastest Caché en la sección de actualizaciones de plugins. Nueva versión disponible: 0.8.5.8
El Changelog (registro de cambios) contiene lo siguiente:
-to remove hostname from exclude rule
-to fix file cache problem
-to change the mobile user-agents
–to fix Wordfence Security report
Y el autor del plugin ha contestado por fin a los usuarios que comentaban en la sección de soporte del plugin.
Esperemos que el plugin haya sido realmente actualizado. Algunos de los otros sitios que gestiona El Taller del Bit fueron hackeados o infectados hace unos días, provocando algunos problemas que tuvieron que solucionarse con restauraciones de backups en algunos casos, y en otros con limpiezas a mano. El culpable era este plugin.
Otro detalle que no parece correcto es el pequeño troleo del autor del plugin, que habiendo confirmado a Wordfence que la versión del plugin estaba actualizada y parcheada, realmente no lo estaba.
Decenas de usuarios dando tumbos por internet, buscando info acerca de cual era la versión adecuada y parcheada del plugin, y cómo era posible que el parche estuviera ya subido si la versión del plugin no había cambiado realmente y no aparecía ninguna nueva versión descargable del plugin…
Yo por si acaso estaré ojo avizor; en mala hora decidí cambiar WP Super caché en algunos sitios web y probar el WP Fastest Caché…
Los problemas que puede llegar a acarrear una vulnerabilidad así como la que ha afectado a este plugin, son enormes. Te entran hasta la cocina, y el trabajo que tienes después para restaurar la web, puede ser ingente; además de la interrupción del servicio que la web está dando..
Cuidadín; y por si acaso, Wordfence activado.
