Los plugins de WordPress se enfrentan actualmente a importantes riesgos de seguridad debido a un reciente descubrimiento detallado en un aviso de seguridad publicado hoy por Patchstack. El aviso hace referencia a un ataque a la cadena de suministro de Polyfill informado inicialmente el 25 de junio por Sansec. Este ataque tiene como objetivo Polyfill.js, una biblioteca de JavaScript ampliamente utilizada que permite una funcionalidad moderna en navegadores web más antiguos que carecen de soporte nativo. Según los hallazgos de ambas empresas, el ataque explota vulnerabilidades en el dominio polyfill.io, que Funnull, una entidad con sede en China, adquirió recientemente. Se inyectó código JavaScript malicioso en la biblioteca alojada en este dominio, lo que plantea graves riesgos, como amenazas de secuencias de comandos entre sitios (XSS). Estas vulnerabilidades podrían comprometer potencialmente los datos de los usuarios y redirigir a los visitantes a sitios web maliciosos, incluidas plataformas de apuestas deportivas fraudulentas. El análisis original de Sansec también identificó varios dominios comprometidos más allá de polyfill.io, incluidos bootcdn.net y bootcss.com, lo que indica un alcance más amplio de activos web afectados. Aunque se han tomado medidas inmediatas para desactivar los dominios comprometidos, persisten los riesgos residuales hasta que todos los componentes afectados se revisen y aseguren a fondo. Dentro del ecosistema de WordPress, la investigación de Patchstack ha revelado que numerosos complementos y temas aún integran scripts de dominios comprometidos. Los complementos vulnerables incluyen Amelia, WP User Frontend y Product Customer List para WooCommerce, cada uno de ellos enumerado con sus versiones afectadas en el aviso. Se recomienda encarecidamente a los administradores del sitio que realicen auditorías inmediatas y apliquen las actualizaciones necesarias para mitigar las posibles vulnerabilidades. Lea más sobre la importancia de las auditorías de seguridad: Reino Unido fortalece las auditorías de ciberseguridad para las agencias gubernamentales Para mejorar aún más la seguridad, Patchstack también recomendó eliminar las dependencias de los dominios afectados y migrar a redes de entrega de contenido (CDN) confiables como cdnjs de Cloudflare. Además, el monitoreo continuo y la implementación de reglas de política de seguridad de contenido (CSP) son pasos cruciales para prevenir futuros intentos de inyección de JavaScript y garantizar una protección sólida contra las ciberamenazas en evolución. Crédito de la imagen: Wirestock Creators / Shutterstock.com