Vulnerabilidad en el plugin Slider Revolution para WordPress

En Noticias, Webmasters por

Hoy publicamos un artículo que me parece muy interesante y que no sólo se centrará en descubrir esta nueva vulnerabilidad en el plugin Slider Revolution para WordPress. También hablaremos sobre los inconvenientes de la compra de temas y plugins comerciales para WordPress en sitios web como Codecanyon o Themeforest, que están relacionados directamente con esta vulnerabilidad en el plugin Slider Revolution.

Vulnerabilidad en el plugin Slider Revolution para WordPress

Empezaré contando que la vulnerabilidad de este plugin no se ha hecho publica hasta este mes de septiembre, pero ha sido detectada y corregida por el autor en el mes de Febrero de este mismo año con el lanzamiento de la versión 4.2. El autor decidió subsanar el error con un parche de seguridad, pero sin notificarlo adecuadamente en el historial de cambios, ni tampoco informar a sus clientes a cerca de la existencia de esta vulnerabilidad.

Análisis de la vulnerabilidad en el plugin Slider Revolution para WordPress

Estamos ante una vulnerabilidad del tipo LFI (Local File Inclusion) que nos permite ver los contenidos de cualquier archivo en el servidor. Empleando esta técnica podemos leer por ejemplo el archivo wp-config.php y obtener las credenciales de la base de datos del blog WordPress.

El ejemplo de uso es del tipo:
http://victima.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Este plugin viene incluido en multitud de temas comerciales y debe ser actualizado. Algunos de los temas que usan este plugin son:

  • WordPress IncredibleWP Theme.
  • WordPress Ultimatum Theme.
  • WordPress Medicate Theme.
  • WordPress Centum Theme.
  • WordPress Avada Theme.
  • WordPress Striking Theme.
  • WordPress Beach Apollo.

Inconvenientes de la compra de plugins y temas comerciales

Esta vulnerabilidad es un claro ejemplo de por que nos debemos mantener alejados de las compras de ciertos temas y plugins premium en tiendas como Codecanyon o Themeforest. En este caso el afectado es el plugin de pago Slider Revolution, el cual no incluye ningún método de notificación de nuevas versiones. Siempre que compréis un tema o plugin que incluya sistema de notificación de actualizaciones.

El problema viene generado porque los desarrolladores incluyen este plugin en sus temas premium y el usuario final lo ignora en la mayor parte de los casos. Como el plugin no tiene sistema de notificación de nuevas actualizaciones, depende del desarrollador estar pendiente de las nuevas versiones para actualizar su tema y esto no es un método eficaz.

Otro inconveniente añadido es que estos temas y plugins comerciales se basan en licencias de pago y en las que en muchas ocasiones, para obtener soporte o nuevas actualizaciones requieren de un coste, por lo que al final, algo tan esencial como mantenernos seguros frente a vulnerabilidades criticas tiene nos cuesta dinero extra.

Y ya para terminar, lo peor de todo es cuando un desarrollador decide no hacer pública la vulnerabilidad en su plugin o tema, poniendo así en peligro a todos sus clientes. A estos desarrolladores no les interesa publicar estas vulnerabilidades, por miedo a que bajen las ventas de su plugin. Esto en realidad sólo es una forma de trato inadecuado a sus clientes, quienes deberían estar informados en todo momento sobre las vulnerabilidades.