El complemento ‘Disqus’ posee un fallo de seguridad que permite la ejecución de código en el servidor de forma remota. La vulnerabilidad (crítica) permite a una tercera persona realizar la ejecución de código en el servidor gracias a la utilización de la función de PHP eval().
Sin embargo, se ha comprobado que la vulnerabilidad puede ser utilizada para obtener información del servidor bajo unas condiciones concretas. Para poder explotar la vulnerabilidad tendrían que coincidir los siguientes aspectos:
- PHP version 5.1.6 o anterior.
- WordPress 3.1.4 o anterior.
- Disqus 2.75 o anterior.
Aunque parezca complicado, existen muchos sitios web que no reciben actualizaciones por parte de su administrador y que por lo tanto no poseen la última versión o la que poseen está afectada por problemas de seguridad, dejando el sitio web expuesto a los hackers. En lo referido a cifras, un total de1,5 millones de blogs de WordPress estarían afectados por esta vulnerabilidad.
¿Cuál es la solución?
Para aprovechar la vulnerabilidad existen tres elementos que son clave. En el caso de que un sitio web utilice versiones de PHP y WordPress desactualizadas será suficiente con actualizar la versión de ‘Disqus’ a la versión 2.76 para conseguir resolver el problema. Este complemento se puede actualizar desde el panel de administrador que posee el sitio web.
No hay comentarios:
Publicar un comentario