Anuncia aquí

WordPress: Lista de plugins no recomendados

Por alex | 17 abril 2007 | 30 Comentarios

A continuación muestro una pequeña lista de plugins para WordPress que tienen problemas de seguridad o rendimiento y por lo tanto, no deberían ser utilizados tal cual son descargados; si tienen instalado alguno de éstos, pueden desactivarlos, ponerse en contacto con el autor o solucionar los problemas por sus propios medios - corregí algunos plugins que menciono, pero muchos de los cambios que hago, son específicos para este blog :(

  • Acronym Replacer Revisited: Además de los problemas de rendimiento anteriormente descritos, es vulnerable a ataques XSS y CSRF, gracias a este último es posible insertar y ejecutar código PHP arbitrario.
  • Spam Karma 2: Me recomendaron este plugin hace poco y a pesar de lo bueno que parece ser, finalmente lo descarté porque es vulnerable a ataques XSS, CSRF y SQL Injection - ya se imaginarán lo que puede pasar con los datos de sus blogs.
  • Adsense-Deluxe: No realiza ninguna protección contra ataques CSRF, usando este último es posible persistir HTML arbitrario (¿XSS o HTML Injection?).
  • Google Analytics: Falla al intentar protegerse contra ataques CSRF (no es suficiente usar la función check_admin_referer) y cae en el mismo problema que Adsense-Deluxe.
  • catcloud: Ídem al problema que tiene Adsense-Deluxe.
  • Google (XML) Sitemaps: Ídem al problema que tiene Adsense-Deluxe.
  • Related Posts: Ídem al problema que tiene Adsense-Deluxe. Si se usa la versión que incluye el soporte para páginas no encontradas (404), entonces es posible hacer SQL Injection en los blogs que lo usen.
  • Audio player: Ídem al problema que tiene Adsense-Deluxe.
  • wp-cache 2.1: En realidad pongo esta versión del plugin porque Dreamhost todavía sigue instalando la versión vulnerable de wp-cache, que tiene un problema similar a Adsense-Deluxe. Pueden actualizar manualmente a la versión 2.1.1 para corregir este fallo.
  • Pagebar: Es vulnerable a ataques XSS en versiones recientes de WordPress

Imagino que esta lista puede crecer indefinidamente :) pero los que muestro aquí, son aquellos con los que tuve/tengo contacto en este blog y en otros que ayudé a poner a punto.

Nota: Por obvias razones, no voy a publicar detalles o pruebas de concepto de los problemas de seguridad. Por otro lado, por falta de tiempo, sólo me puse en contacto con algunos autores.

A excepción de wp-cache, los problemas mencionados están presentes en las últimas versiones de los plugins.

Esta entrada fue publicada en Seguridad, Sql Injection, Web, Wordpress, XSS

21 Comentarios

  1. 1 Dave (17 de abril de 2007, 08:13:55 am) http://unknowngenius.com/blog/

    (Sorry for posting in English, but I'm too ashamed of my Spanish to subject you to my very poor command of the language. Feel free to reply in Spanish, though)

    It is the very first time ever that I hear anything about any sort of exploit involving SK2. SQL, XSS or otherwise. I think, you might be confused with some other program.
    If you know of any such exploit, please do contact me with any detail you have, so I can look into it.

    Thanks.
  2. 2 alex (17 de abril de 2007, 09:10:38 am) http://www.buayacorp.com

    Dave, I'm not confused about SK2 security problems :) , I've already sent you a mail with some proof of concepts.
  3. 3 maty (17 de abril de 2007, 09:31:17 am) http://nauscopio.nireblog.com

    Justo iba a pedirte que avisaras al autor del Spam Karma 2, Dave. Acabo de deshabilitarlo en la bitácora de Quiñonero.

    También ayer instalé el del sitemap para Google, que ahora liquido.

    Mucho me temo que la mayoría de plugins sufren esos males, sobre todo los que utilizan el peligroso javascript para su funcionamiento.

    A lo que iba, he vuelto a implementar Comment Quicktags 1.9 (ya no tiene soporte, usa javascript) para incorporar botones para la edición enriquecida de los comentarios, que he traducido y modificado. Estoy a la espera de saber si provoca un exceso de consumo de CPU como antaño para anotar al respecto y compartirlo con los demás.

    Pues eso, te agradecería muy mucho que echaras un vistazo al plugin. Por correo te envío el original y el modificado/traducido.

    Nota: años ha, David F. Madrid en la extinta Nautopía era quien se encargaba de buscar tales fallos de seguridad, reportando unos cuantos XSS de gran gravedad.
  4. 4 maty (17 de abril de 2007, 09:44:09 am) http://nauscopio.nireblog.com

    Alex, necesito tu cuenta de correo para enviarte el zip. He localizado la de Braulio.

    Mis datos:

    Cuenta de correo: cuenta-correo-maty.png
    Claves Públicas: http://nauscopio.nireblog.com/cat/contacto
  5. 5 alex (17 de abril de 2007, 09:54:50 am) http://www.buayacorp.com

    @maty: Mis datos están en la página de contacto, pero para ahorrarte unos cuantos clics puedes escribirme a [alex at buayacorp dot com]
  6. 6 maty (17 de abril de 2007, 10:35:58 am) http://nauscopio.nireblog.com

    Enviado el correo (firmado digitalmente, como es mi costumbre).
  7. 7 Zak Greant (17 de abril de 2007, 11:03:13 am) http://zak.greant.com

    Greetings Alex,

    Unfortunately, I only speak English - for the benefit of your Spanish-only readers, Google's translation of this message can be found below.

    Thanks for the report of a CSRF in my catcloud plugin. Would you be able to send me any more information.

    Also, I note that you are using the catcloud plugin on this site. Does this mean that you have a corrected version of the plugin? :)

    Cheers!
    --zak

    Saludos Alex, Agradece por el informe de un CSRF en mi catcloud plugin. Podrías enviarme más información. También, observo que estás utilizando el catcloud plugin en este sitio. ¿Este medio que tienes una versión corregida del plugin? :) ¡Aclamaciones! --zak

    (via http://www.google.com/translate_t)
  8. 8 Dave (17 de abril de 2007, 11:46:49 am) http://unknowngenius.com/blog/

    Alex,

    I haven't received any notice about security exploits in SK2. Your message may have somehow gotten lost on the way: can you please re-send it?
  9. 9 alex (17 de abril de 2007, 01:52:15 pm) http://www.buayacorp.com

    @Zak: I'm using a modified version of your plugin, btw, please check your inbox to know more details about the vulnerability.

    @Dave: I've sent you again the mail, please check your spam folder if it doesn't appear.
  10. 10 Dave (18 de abril de 2007, 03:18:22 am) http://unknowngenius.com/blog/

    Alex,

    I checked everywhere and I have only one mail from you (Alexander C.) but it is on an entirely unrelated topic (the wp-plugins.net website). Can you please make sure you use the email address I am commenting with. Or alternatively, you can use the contact form on my website, as I know it works.

    Thanks.
  11. 11 Calinsoft.net (18 de abril de 2007, 02:18:19 pm) http://calinsoft.net

    quien te entiende hablas de
    http://www.buayacorp.com/wp-content/plugins/adsense-deluxe.php

    http://www.buayacorp.com/wp-content/plugins/sitemap.php

    http://www.buayacorp.com/wp-content/plugins/related-posts.php

    http://www.buayacorp.com/wp-content/plugins/pagebar.php

    y si los has arreglado por que no enseñas como lo as hecho, eh tomado foto a esto para que despues no lo quites como siempre lo haces cuando te dicen la verdad
  12. 12 alex (18 de abril de 2007, 03:58:17 pm) http://www.buayacorp.com

    #12, lee atentamente el primer párrafo y luego intentas hacer de troll...

    Por cierto, ¿puedes recordarme cuándo quité algo?
  13. 13 Troll (18 de abril de 2007, 10:20:39 pm)

    Ese master rcdsvidita :P

  14. 14 shezzo (19 de abril de 2007, 02:08:24 am) http://nerdpride.org/blog

    Gran trabajo Alex, felicitaciones.
  15. 15 Angelfire (30 de mayo de 2007, 11:08:28 am) http://blog.geektheplanet.net

    Alex, podrias ofrecer alguna opción diferente para el plugin Google (XML) sitemaps?, a decir verdad no he visto alguno parecido.
  16. 16 alex (30 de mayo de 2007, 08:05:07 pm) http://www.buayacorp.com

    @Angelfire: Lo siento, no sé si exista algún plugin similar a Google sitemaps.

    Saludos
  17. 17 Milton! (27 de agosto de 2007, 11:06:46 pm) http://www.quelapaseslindo.com.ar/

    Guau! Es bueno saber cosas como ésta...

    No quiero pecar de "pedigüeño", pero se me ocurre como "agregado" para un próximo post similar, que estaría bueno que digas si encontraste algún plugin con funcionalidad similar y sin tantas fallas... Lo digo porque personalmente no tengo idea de éstas cosas y uso varios de los plugins mencionados...

    Muy bueno el post, ahora veré que hago con eso!

    Saludos!
  18. 18 juanma (30 de diciembre de 2007, 12:41:48 pm)

    es todo verso, no tienen problema de seguridad ninguno de los mencionados anteriormente salvo el ARR
  19. 19 alex (30 de diciembre de 2007, 07:54:54 pm) http://www.buayacorp.com

    juanma: tienes razón, es todo verso luego que esta entrada se haya escrito hace más de 9 meses. :)

  20. 20 Nebula (8 de noviembre de 2008, 02:35:46 pm) http://www.zona-tecno.com/

    Hola Alex, yo probe el plugin de Related Post y lo tuve que desinstalar, al poco tiempo encontre el plugin Add Post Footer y la verdad estoy mas que satisfecho.
  21. 21 alex (9 de noviembre de 2008, 12:13:03 pm) http://www.buayacorp.com

    Hola Nebula, le daré una mirada, aunque con las modificaciones que le hice a la versión que tengo también estoy satisfecho. :)

9 Trackbacks

  1. Por Polymorph: Zak Greant’s Blog » Blog Archive » Possible CSRF in Catcloud el 17 abril 2007 a las 11:11 am

    [...] over at http://www.buayacorp.com posits (in Spanish) that catcloud is vulnerable to cross-site request forgeries (CSRF) - he may well be right. I’ve asked him for more [...]

  2. Por XSS en el tema Kubrick de Wordpress - Buayacorp el 27 abril 2007 a las 8:00 am

    [...] a este tipo de ataques, por lo cual, si vuestro blog les importa, deben tener cuidado con los plugins y temas que instalan o [...]

  3. Por Marqueze Telecom Blog » Blog Archive » Ayudita, plugin wordpress que compruebe validez de los enlaces salientes el 1 mayo 2007 a las 11:46 am

    [...] Incluso hay un blog, BuyaCorp que publica su lista de plugins no recomendados para wordpress [...]

  4. Por Seguridad de WordPress y la [triste] realidad - Buayacorp el 27 mayo 2007 a las 5:31 am

    [...] muchos hemos publicado artículos sobre problemas de seguridad tanto del core de WordPress como de algunos plugins, también se publicó material sobre como desarrollar plugins seguros y hasta dado consejos para [...]

  5. Por AdSense Listos | La WeB de DragoN el 30 mayo 2007 a las 2:43 am

    [...] los AdSense en WordPress muy superior al famoso Adsense-Deluxe que por cierto forma parte de la lista de plugins que no debes instalar en wordpress creada por alex de [...]

  6. Por El laberinto de piedra » Blog Archive » Nubes de etiquetas el 24 junio 2007 a las 10:00 pm

    [...] SimpleTags - A WordPress Plugin for generating Technorati Tags Add-Meta-Tags WordPress Plugin WordPress: Lista de plugins no recomendados [...]

  7. Por La computadora en la oficina : Blog Archive : Nubes de etiquetas el 9 julio 2007 a las 5:57 am

    [...] - A WordPress Plugin for generating Technorati Tags Add-Meta-Tags WordPress Plugin WordPress: Lista de plugins no recomendados Catcloud Wordress Plugin Updated for WordPress 2.1 A Tagging Bookmarklet for WordPress and [...]

  8. Por h@nz …el Geek » Blog Archive » Plugins para tu blog en Wordpress el 4 agosto 2007 a las 9:00 am

    [...] problemas o vulnerabilidades a ataques de algunos payasos que pudieran tener estos componentes (en Buayacorp muestras algunos plugins vulnerables a ataques), pero si algo hay que admitir, es que quienes usamos un cms en wordpress, definitivamente andamos [...]

  9. Por SigT el 27 agosto 2007 a las 4:16 pm

    Seguridad y plugins de WordPress peligrosos...

    Se han dado a conocer los resultados del concurso de la competición de hacer plugins para WordPress, lo cual ha originado una expectación importante…

    El problema viene ahora que los plugins ganadores no son ningún alarde de seguridad siendo p...

Publicar un Comentario

Tu email nunca será publicado o compartido. Los campos requeridos están marcados con un *

*
*

Puedes usar estas etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>