Una vulnerabilidad descubierta en un popular plugin de WordPress que optimiza el uso de fuentes de Google está afectando a un gran número de sitios, llegando a afectar a más de 300.000 de ellos.
El plugin en cuestión, llamado OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy., se utiliza ampliamente para mejorar la velocidad de las páginas y garantizar la conformidad con el GDPR para los usuarios de la Unión Europea que desean utilizar fuentes de Google en sus sitios.
Sin embargo, la vulnerabilidad clasificada como alta permite que atacantes no autenticados realicen eliminaciones de directorios y carguen scripts maliciosos.
Esto representa un riesgo significativo, ya que los atacantes pueden aprovechar esta falla para comprometer a los visitantes de los sitios afectados.
La vulnerabilidad en cuestión permite la ocurrencia de Cross-Site Scripting (XSS), un tipo de ataque en el que se inserta un script malicioso en el servidor del sitio y puede usarse para atacar los navegadores de los visitantes.
Con esto, los atacantes pueden acceder a información confidencial, como cookies y datos de sesión, tomando el control de las cuentas de los usuarios.
Los investigadores de Wordfence identificaron la causa de la vulnerabilidad como la falta de una verificación de capacidad adecuada. Esto permitió que la función update_settings() del plugin fuera explotada por atacantes no autenticados.
Aunque las actualizaciones anteriores intentaron resolver esta falla de seguridad, la versión más reciente, 5.7.10, se considera la más segura hasta el momento.
Se recomienda encarecidamente que los usuarios del plugin actualicen a esta versión lo antes posible para proteger sus sitios contra posibles ataques.
