Categories
CSRF Seguridad Web WordPress XSS

¿Usas el plugin PopStats?

Actualización: Finalmente Luis Sancho
liberó la versión 2.2.1 del plugin PopStats que principalmente corrige un problema de XSS reportado a su autor hace algunos días.

Las cosas que cambian en esta versión:

  • Corrección de vulnerabilidad XSS: problema originado por no realizar filtros adecuados al momento de guardar y mostrar los valores del referer
    y la dirección IP que envía el cliente.
  • El plugin sólo inserta código JavaScript y CSS en página de administración del plugin.
  • Arreglado problema con el evento "onload" del objeto window, ahora utiliza el modelo de eventos del DOM.
  • Protección contra ataques de tipo CSRF al momento de limpiar las estadísticas (*).

(*) Al enviar esta propuesta, introduje un bug en el plugin que hace que no se puedan limpiar las estadísticas
en la rama 2.0 de WordPress, esto fue originado por que la ubicación de la función check_admin_referer cambia entre las versiones 2.0.x
(pluggable-functions.php) y 2.1.x (pluggable.php).


Luego de haber estado usando durante un tiempo el plugin PopStats, hoy mientras revisaba las estadísticas del blog, acabo de darme cuenta que es vulnerable a ataques XSS.

Por el momento no daré los detalles de la vulnerabilidad, pero recomiendo que desactiven cuanto antes el mencionado plugin, puesto que estos valores especialmente preparados se pueden persistir en las tablas que usa para almacenar sus datos.

11 replies on “¿Usas el plugin PopStats?”

Hola Alex: Gracias por tu visita y sobre todo por tu recomendación sobre el título de mis entradas.
Tu Blog es muy interesante, lo voy a frecuentar para enterarme de novedades técnicas. Hasta pronto. Nuevamente gracias.

De nada Simón, a veces se nos escapan esos pequeños detalles.

Saludos y gracias de antemano por si vuelves a visitarme 🙂

Hola!

Quisiera saber de dónde puedo bajar ese plugin, ya que actualmente el sitio del autor pide user/name para accesar al sitio.

Gracias y saludos.

Comments are closed.