Vulnerabilidad del complemento de WordPress de Google Site Kit

Se descubrió una vulnerabilidad en el complemento de WordPress de Kit de sitio de Google y posteriormente se parchó.

La vulnerabilidad permite a un atacante escalar los privilegios del sitio y atacar la visibilidad de b√ļsqueda de las v√≠ctimas, alterar los mapas del sitio y m√°s.

Complemento de WordPress para Google Site Kit

La vulnerabilidad afecta a Site Kit de Google. Google Site Kit es un Google WordPress.

Google Site Kit muestra informaci√≥n sobre su sitio dentro del panel de administraci√≥n de WordPress. Agrega informaci√≥n de Google Search Console (GSC), Google Analytics, AdSense, Page Speed ‚Äč‚ÄčInsights y otras herramientas de Google.

Los investigadores de WordFence (@wordfence) descubrieron la vulnerabilidad, notificaron a Google y luego publicaron un anuncio después de actualizar el complemento.

Seg√ļn el anuncio:

"Esto se considera un problema de seguridad crítico que podría llevar a los atacantes a obtener el acceso del propietario a su sitio en Google Search Console.

El acceso del propietario permite a un atacante modificar mapas del sitio, eliminar p√°ginas de las p√°ginas de resultados del motor de b√ļsqueda de Google (SERP) o facilitar las campa√Īas de SEO de sombrero negro ".

Vulnerabilidad del Kit de sitio de GoogleGoogle Site Kit es un complemento de WordPress que muestra datos de Google AdSense, Analytics y GSC dentro del área de administración de WordPress.

Vulnerabilidad de escalada de privilegios

La vulnerabilidad que afecta a Google Site Kit es un exploit de escalada de privilegios. Este tipo de explotación requiere que un atacante esté registrado en el sitio de WordPress (por ejemplo, como suscriptor) para aprovechar un agujero de seguridad.

Normalmente, un usuario registrado en el nivel de suscriptor tiene privilegios mínimos en un sitio web. Sin embargo, la vulnerabilidad permite que un atacante obtenga privilegios de administrador de nivel de sitio para escalar sus privilegios de acceso al sitio.

La vulnerabilidad fue descubierta por el investigador de seguridad de WordFence Chloe Chamberland el 21 de abril de 2020 e informó a Google el mismo día. Google emitió un parche el 7 de mayo de 2020

Seg√ļn el investigador de vulnerabilidades de WordFence, Chloe Chamberland:

“Conectar dos sistemas, como un sitio de WordPress y las herramientas de propiedad del sitio de Google, siempre conlleva cierto grado de riesgo. Asegurar que la integración entre ambos sistemas esté asegurada es de vital importancia.

Cuando empresas como Google tienen una política de divulgación de vulnerabilidad fácil de encontrar, ayuda a los investigadores a solucionar rápidamente los problemas de los usuarios finales.
A medida que el espacio madura, vemos que más desarrolladores publican Políticas claras de divulgación de vulnerabilidad, pero se necesita hacer más para garantizar que los investigadores y desarrolladores de seguridad puedan conectarse rápidamente y hacer que la web sea más segura para todos. "

Los suscriptores del complemento de seguridad Premium de WordFence habrían estado protegidos de esta vulnerabilidad el mismo día que se descubrió, semanas antes de que Google emitiera el parche.

ANUNCIO

CONTINUAR LEYENDO ABAJO

Versiones de Google Site Kit afectadas

Esta vulnerabilidad afecta a las versiones de Google Site Kit que son inferiores a la versión 1.8.0.

Google Site Kit 1.8.0 ha sido completamente parcheado. Se recomienda encarecidamente que los usuarios actualicen su complemento de inmediato.

Vulnerabilidad del complemento de Google Site Kit

El registro de cambios del complemento de WordPress de Kit de sitio de Google indica claramente que la versión 1.8.0 tiene una actualización de seguridad y recomienda encarecidamente que los usuarios actualicen.

Lea el anuncio oficial:

La vulnerabilidad en el complemento de Google WordPress otorga acceso a la consola de b√ļsqueda de atacantes