Manuel Fernández, auditor de ciberseguridad de Entelgy Innotec Security, ha obtenido un CVE tras detectar una vulnerabilidad en uno de los plugins más utilizados de WordPress. Concretamente, al profesional especializado en hacking se le ha asignado el CVE-2019-10864 tras descubrir XSS en el plugin para estadísticas Wp-Statistics, con la versión 12.6.2. Este plugin lo tienen instalado, actualmente, más de medio millón de cuentas de WordPress.
El auditor encontró la citada vulnerabilidad tras auditar varios WordPress, todos ellos con características similares, actualizados a la última versión (5.1.1 en aquel momento). Al revisar los pocos plugins que tenían instalados, dio con el llamado Wp-Statistics, con la versión 12.6.2. Tras examinarlo durante un día entero, encontró un XSS almacenado “un tanto curioso”, que permite que un atacante realice una ejecución arbitraria de código (RCE) insertando webscript o HTML a través del campo Referer.
Para todos aquellos que tengan este plugin instalado en su WordPress, Manuel Fernández recomienda que actualicen a la versión 12.6.3 o superior.
Con la asignación de este CVE, Manuel comienza a participar en el programa Outside Talent, iniciativa del Área de Personas y el Área de Marketing de Innotec para promover que los profesionales de la compañía participen activamente en diferentes actividades y eventos de ciberseguridad, con el objetivo de que muestren su talento y su experiencia en este sector.