Los desarrolladores de Wordfence, popular plugin de seguridad para WordPress, han detectado dos errores en el complemento Orbit Fox que permiten inyectar código malicioso e incluso apoderarse de los sitios que lo hayan instalado.
Instalar complementos es una práctica habitual entre los administradores de páginas web creadas con el sistema de gestión de contenidos, sobre todo si quieren disfrutar de funcionalidades no incluidas en el paquete básico de WordPress. Algunas de las características más apreciadas que ofrecen estos plugins permiten mejorar el posicionamiento SEO, crear formularios de contacto, realizar copias de seguridad o implementar una tienda online. En definitiva, aportan un gran abanico de nuevas posibilidades que sirven para construir un sitio más completo.
Con respecto a Orbit Fox, entre sus características más destacadas, encontramos herramientas de monitorización, la posibilidad de integrar Google Analytics en la página web, nuevos complementos y Widgets, formularios de registro, módulos de temas, íconos de menú e imágenes gratuitas, etc.
Se trata de un complemento que incluye funciones útiles y opciones de diseño variadas. Por eso, es lógico que haya obtenido un nivel de popularidad considerable, alcanzando aproximadamente las 400.000 descargas. No obstante, puede hacer que un sitio web sea potencialmente vulnerable como indica el equipo de Wordfence.
Un error permite escalar privilegios, el otro inyectar código malicioso
Según los investigadores, este complemento presenta dos brechas de seguridad con distinto grado de gravedad. La más preocupante está relacionada con el widget de registro de Orbit Fox que, supuestamente, permite a los usuarios de nivel inferior obtener privilegios de administrador, permitiendo a los atacantes apoderarse de un sitio completamente.
Este error se produce porque el plugin solo ofrece protección del lado del cliente y no cuenta con ningún tipo de validación en el lado del servidor, permitiendo que cualquier usuario pueda subir de rango en la jerarquía del CMS.
La otra brecha de seguridad está relacionada con las funciones de script de la cabecera y el pie de página y permite la inyección de código malicioso en las publicaciones, que se ejecutará cuando un usuario visite la web. Esta vulnerabilidad es menos grave que la citada anteriormente, pero no debe ser pasada por alto.
Así lo explicó Chloe Chamberland, analista de amenazas de Wordfence: «En la publicación de hoy, detallamos dos fallas en Orbit Fox por ThemeIsle que otorgaron a los atacantes la capacidad de escalar privilegios e inyectar JavaScript potencialmente malicioso en las publicaciones».
Por último, agregó que estos defectos se han corregido en la versión 2.10.3, por lo que recomienda que los usuarios actualicen inmediatamente el complemento para evitar riesgos.
Si estás interesado en descargar la última version de WordPress (5.6), puedes hacerlo accediendo al siguiente enlace.
