Esta semana revelaron la existencia de una vulnerabilidad en un conocido plugin para WordPress llamado Simple Social Buttons, el cual permitiría a un atacante tomar control de un sitio que lo tenga instalado.
Simple Social Buttons es un complemento que permite añadir botones de Facebook, Twitter, WhatsApp, LinkledIn y otras redes sociales en distintas partes de un sitio para que los usuarios puedan compartir a través de las distintas plataformas sociales el contenido publicado. La herramienta, que registra más de 40.000 instalaciones activas, ya cuenta con una versión actualizada (2.0.22) que repara el fallo, por lo que se recomienda a todos aquellos que tengan instalado el plugin que lo actualicen a la última versión lo antes posible.
El bug, descubierto por WebARX, afectaba a las versiones que van desde la 2.0.4 hasta la anterior a la 2.0.22, que es en la que se introdujo el parche de seguridad.
De acuerdo a la descripción que hicieron los especialistas detrás del hallazgo, el fallo consiste en un error de flujo de diseño inapropiado asociado a falta de revisión de permisos. Como consecuencia, el error permite a un potencial atacante escalar privilegios y realizar acciones para las cuales no está autorizado, como hacer modificaciones en la configuración principal del sitio de WordPress. De esta manera, al poder realizar estos cambios un atacante tomar control de un sitio mediante la instalación de backdoors.
En un video publicado por los investigadores que reportaron el fallo, se puede ver lo peligroso del bug al permitir cambiar la dirección de correo asociada a la cuenta de administrador del sitio.
Solo en el día de hoy, la nueva versión se descargó más de 500 veces, y en los últimos 7 días se realizaron 8.435. Si utilizas este plugin en tu sitio y aún no lo has actualizado, hazlo ahora ingresando aquí.
