Una vulnerabilidad que ya está corregida habría podido acabar con miles de webs hechas en Wordpress y Drupal con un simple archivo que tumbaría el servidor. El fallo fue notificado a las plataformas para que lo corrigieran antes de hacerse público.
Últimamente las noticias sobre vulnerabilidades en Internet se repiten cada vez con más frecuencia, tal vez fruto de una más intensa investigación o de un foco más intenso por parte de los medios. Sea como fuere, lo que hoy nos atañe es un fallo que se produce en dos de los CMS más importantes de la red: Drupal y WordPress.
Y es que un investigador de seguridad de Salesforce llamado Nir Goldshlager ha descubierto una brecha muy seria en ambos sistemas, según informa Mashable. Dicho fallo permitiría a un atacante tumbar cualquier web que corra bajo WordPress o Drupal y por si esto no fuera poco, también podría acabar con el servidor donde se encontrase.
WordPress y Drupal han trabajado de manera conjunta para sacar una actualización al mismo tiempo
La vulnerabilidad se basa en un ataque XML Quadratic Blowup que hace uso de una entidad repetida miles de veces que contiene, a su vez, miles de caracteres. Todo se albergaría en un archivo de apenas unos cientos de kbs que al ser cargado en el servidor de la víctima lo inutilizaría al requerir el uso de cientos de megas o incluso gigabytes de memoria.
Sin embargo no hay que temer por la salud de nuestra web o blog ya que ambas plataformas se han apresurado a actualizar las versiones de sus CMS para corregir los errores. De hecho, quien descubrió dicho error contactó primero con los responsables de seguridad de ambas empresas para informarles de tal vulnerabilidad y que pudieran corregirla antes de dar a conocer el caso. En este sentido se recomiendo actualizar a la última versión de ambos sistemas.
Hay que tener en cuenta que cerca de un 25% de todo internet está construido en WordPress, ya sean blogs, revistas, negocios locales o grandes comunidades, muchos sitios usan este popular CMS. De Drupal, en cambio, se conocen pocos pero muy famosos casos como los de la Casa Blanca de EE.UU, Mensa o Best Buy.