Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/03/2015
Se trata de una herramienta muy popular dentro del sistema de gestión de contenido. Ryan Dewhurst, consultor freelance de seguridad, descubrió este fallo que permitiría a un atacante controlar una página web con técnicas SQL injection (SQLi) y acceder a datos confidenciales, inyectar malware, ...
Se requieren privilegios de administración para activar el exploit pero pueden conseguirse con técnicas de ingeniería social.
Un punto destacable es su resolución; antes de que Dewhurst diera a conocer esta vulnerabilidad, informó de ésta a los responsables y fue resuelta en hora y media. Una nueva versión está disponible (WordPress SEO by Yoast (1.7.4). Todo un ejemplo a seguir.
Se recomienda la actualización de Yoast a la última versión; todas las anteriores son vulnerables.