Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/03/2015
Es tracta d’una ferramenta molt popular dins del sistema de gestió de contingut. Ryan Dewhurst, consultor freelance de seguretat, va descobrir esta fallada que permetria a un atacant controlar una pàgina web amb tècniques SQL injection (SQLi) i accedir a dades confidencials, injectar programari maliciós...
Es requerixen privilegis d’administració per a activar l’exploit però poden aconseguir-se amb tècniques d’enginyeria social.
Un punt destacable és la seua resolució; abans que Dewhurst donara a conéixer esta vulnerabilitat, en va informar als responsables i va ser resolta en hora i mitja. Una nova versió està disponible (WordPress SEO by Yoast (1.7.4). Tot un exemple que s’ha de seguir.
Es recomana l’actualització de Yoast a l’última versió; totes les anteriors són vulnerables.