No es habitual que un plugin o complemento sea bloqueado de la noche a la mañana, pero esta semana hemos visto un bloqueo de este tipo. Ha sido el plugin de WordPress ‘Yellow Pencil Visual Theme Customizer’ y que actualmente sigue bloqueado y no puede ser descargado.
‘Yellow Pencil’ es un plugin de WordPress para editar estilos CSS, de código abierto y que puede estar instalado en unas 30000 máquinas.
El bloqueo ha sido debido a que un investigador de seguridad, de una forma algo irresponsable publicó una prueba de concepto (PoC) que permite aprovechar una vulnerabilidad de este software.
La vulnerabilidad está localizada en la función ‘yp_remote_get_first’ existente en el fichero ‘yellow-pencil.php’ que es llamada cada vez que una página web es cargada y comprueba si existe el parámetro ‘yp_remote_get’. Si este parámetro es encontrado, la barra de administración será mostrada, lo que permitiría a cualquier usuario de forma muy fácil, escalar privilegios de seguridad a través del parámetro ‘yp_remote_get’.
Como actualmente el error no está corregido, recomendamos deshabilitar este complemento para no tener un sitio web vulnerable, y estar atentos a la comunidad de WordPress, para estar al día con este tipo de noticias, ya que varios complementos de WordPress han sufrido una actitud similar. Recientemente los complementos ‘Social Warfare‘, ‘Easy WP SMTP’ y ‘Yuzo’ han sufrido también la actitud irresponsable de la publicación de una PoC por parte de atacantes no identificados sin que estos se pusieran en contacto con los desarrolladores.
Más información:
Yellow Pwncil Important Security Update.
https://yellowpencil.waspthemes.com/docs/important-security-update/
Deja una respuesta