El fallo que ya fue corregido habría podido acabar con miles de webs hechas en WordPress y Drupal con un simple archivo. El fallo fue notificado a las plataformas para que lo corrigieran antes de hacerse público.
Las noticias sobre vulnerabilidades en Internet se repiten cada vez con más frecuencia, probablemente a una más intensa investigación o de un foco más intenso por parte de los medios. De cualquier forma, lo que hoy nos preocupa es un fallo que se produce en dos de los CMS más importantes de la red: Drupal y WordPress.
Nir Goldshlager investigador de seguridad de Salesforce ha descubierto una brecha muy seria en ambos sistemas, este fallo permitiría a un atacante tumbar cualquier web que corra bajo WordPress o Drupal y por si esto no fuera poco, también podría acabar con el servidor donde el sitio se encuentra ubicado.
“La vulnerabilidad se basa en un ataque XML Quadratic Blowup que hace uso de una entidad repetida miles de veces que contiene, a su vez, miles de caracteres. Todo se albergaría en un archivo de apenas unos cientos de kbs que al ser cargado en el servidor de la víctima lo inutilizaría al requerir el uso de cientos de megas o incluso gigabytes de memoria.”
La falla fue corregida en la más reciente actualización de estos CMS, gracias al trabajo conjunto de Drupal y WordPress
Cabe destacar que cerca de un 25% de todo internet está construido en WordPress, ya sean blogs, revistas, negocios locales o grandes comunidades, muchos sitios usan este popular CMS. Drupal, en cambio, se conocen pocos pero muy famosos casos como los de la Casa Blanca de EE.UU, Mensa o Best Buy.
