WordPress SEO, Google Analytics y All in one SEO son vulnerables ante ataques XSS, provocando que los sitios web que hagan uso de al menos de uno de estos tres complementos estén afectados.
Sin embargo, la lista
se ha hecho aún mayor cuando expertos en seguridad han procedido a realizar pruebas
con otros complementos, ascendiendo en total a 17. Para terminar con las
cifras, se estima que millones de sitios web estén afectados por los fallos de
seguridad que poseen estos 17 complementos, la mayoría de ellos muy utilizados,
tal y como hemos podido comprobar.
El origen de los problemas se sitúa en el tratamiento que
hacen estos complementos de las URL, concretamente de la cadena de texto que se
utiliza posteriormente como dirección web, permitiendo que se pueda introducir
código y se interprete, provocando que un atacante pueda introducir en la
página web marcos con código malicioso que provoque la descarga de malware en
el equipo del usuario al acceder a la página, por ejemplo.
Dos funciones las causantes del problema
- add_query_arg() y remove_query_arg() son las dos funciones que han provocado la aparición del problema por su utilización no segura. Expertos en seguridad han realizado un análisis profundo sobre una gran cantidad de aplicaciones en busca del error, afirmando que tras comprobar 400, resulta muy difícil saber a ciencia cierta el número exacto de las que se encuentran afectadas, aclarando que la cifra de diecisiete no es la real y que es mucho mayor.
- Por suerte los usuarios de la mayoría de estos 17 complementos ya disponen de una versión actualizada que pone solución al problema y evita que los complementos se conviertan en un aliado del lado de los ciberdelincuentes. Los responsables del resto han anunciado soluciones entre esta semana y a lo largo de la próxima.
