Actualización: Finalmente Luis Sancho
liberó la versión 2.2.1 del plugin PopStats que principalmente corrige un problema de XSS reportado a su autor hace algunos días.
Las cosas que cambian en esta versión:
- Corrección de vulnerabilidad XSS: problema originado por no realizar filtros adecuados al momento de guardar y mostrar los valores del referer
y la dirección IP que envía el cliente. - El plugin sólo inserta código JavaScript y CSS en página de administración del plugin.
- Arreglado problema con el evento "onload" del objeto window, ahora utiliza el modelo de eventos del DOM.
- Protección contra ataques de tipo CSRF al momento de limpiar las estadísticas (*).
(*) Al enviar esta propuesta, introduje un bug en el plugin que hace que no se puedan limpiar las estadísticas
en la rama 2.0 de WordPress, esto fue originado por que la ubicación de la función check_admin_referer cambia entre las versiones 2.0.x
(pluggable-functions.php) y 2.1.x (pluggable.php).
Luego de haber estado usando durante un tiempo el plugin PopStats, hoy mientras revisaba las estadísticas del blog, acabo de darme cuenta que es vulnerable a ataques XSS.
Por el momento no daré los detalles de la vulnerabilidad, pero recomiendo que desactiven cuanto antes el mencionado plugin, puesto que estos valores especialmente preparados se pueden persistir en las tablas que usa para almacenar sus datos.
11 replies on “¿Usas el plugin PopStats?”
Ya está en marcha una actualización urgente del plugin que solucione estos problemas.
¿Piensas ponerte en contacto con el creador del plugin para actualizarlo?
Ya lo hice, por si no te diste cuenta, él dejó el primer comentario en esta entrada.
Saludos
Hola Alex: Gracias por tu visita y sobre todo por tu recomendación sobre el título de mis entradas.
Tu Blog es muy interesante, lo voy a frecuentar para enterarme de novedades técnicas. Hasta pronto. Nuevamente gracias.
De nada Simón, a veces se nos escapan esos pequeños detalles.
Saludos y gracias de antemano por si vuelves a visitarme 🙂
Ya he publicado una actualización con la solución al problema (con tu permiso, a ver si me vas a dar una colleja) y algunas cositas más.
[...] ha visto la luz, con alguna mejora y sobre todo la corrección de la vulnerabilidad frente a ataques XSS que se reportó hace poco. [Descargar] # « jQuery 1.1.2, ha visto la [...]
[...] desarrollador de PopStats acaba de publicar una actualización de este plugin que corrige una vulnerabilidad XSS y añade algunas [...]
[...] descargué esta versión vulnerable de WordPress, para realizar las pruebas -y algunas correcciones- de la nueva versión del plugin PopStats. El código insertado en la versión que tengo a la mano [...]
[...] igual que un caso anterior, esta vez mientras revisaba las estadísticas de acceso al blog en Reinvigorate, un pequeño [...]
Hola!
Quisiera saber de dónde puedo bajar ese plugin, ya que actualmente el sitio del autor pide user/name para accesar al sitio.
Gracias y saludos.