Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/03/2015
Vulnerabilidad en WordPress SEO Yoast
Detectada vulnerabilidad grave en esta herramienta de optimización de posicionamiento en buscadores.
Se trata de una herramienta muy popular dentro del sistema de gestión de contenido. Ryan Dewhurst, consultor freelance de seguridad, descubrió este fallo que permitiría a un atacante controlar una página web con técnicas SQL injection (SQLi) y acceder a datos confidenciales, inyectar malware, ...
Se requieren privilegios de administración para activar el exploit pero pueden conseguirse con técnicas de ingeniería social.
Un punto destacable es su resolución; antes de que Dewhurst diera a conocer esta vulnerabilidad, informó de ésta a los responsables y fue resuelta en hora y media. Una nueva versión está disponible (WordPress SEO by Yoast (1.7.4). Todo un ejemplo a seguir.
Se recomienda la actualización de Yoast a la última versión; todas las anteriores son vulnerables.