Saltar al contenido

Etiqueta: seguridad

Cómo corregí una vulnerabilidad en mi plugin JS Archive List tras un reporte de WordFence

Publicado por Miguel Useche el 28 de noviembre de 2025

JS Archive List es un plugin que creé hace más de una década para mostrar archivos de entradas de WordPress en un formato más limpio y dinámico usando JavaScript (inicialmente era con JQuery). Pues hace unas semanas recibí un correo de un grupo de hackers y del equipo de Wordfence (correos separados) informándome de una vulnerabilidad en JS Archive List para realizar inyecciones SQL.

Para quienes no lo conocen: JS Archive List toma los años y meses archivados en la base de datos y permite generar un widget o listado que se navega sin recargar la página. Es sencillo, útil y, como muchas herramientas viejas, tenía una parte interna que había quedado congelada en el tiempo, de hecho ese código viene del fork original en el que está basado.

Cómo se descubrió la vulnerabilidad en JS Archive List

Hace unas semanas recibí un mensaje desde la plataforma de investigadores de WordFence. Ellos tienen un programa privado donde reportan vulnerabilidades a desarrolladores antes de hacerlas públicas, y me dieron un plazo de tres semanas para liberar un fix.

El problema estaba en algo básico, la forma de generar la consulta SQL. El plugin recibía un año a través de la API o URL para filtrar los archivos, pero ese valor venía directamente de la base de datos sin sanitización y se insertaba en la query. Resultado: era posible modificar la consulta enviando un año inválido, lo que abría la puerta a inyecciones SQL.

Nada glamuroso ni nada complicado. Pero sí peligroso.

Actualizando una década de código para usar $wpdb

El fix de la vulnerabilidad en JS Archive List estaba claro: había que actualizar una porción del plugin que llevaba más de diez años igual, adaptarla a las funciones seguras de $wpdb y garantizar que todas las consultas pasaran por sus métodos de preparación. Esto no solo eliminó la inyección SQL, sino que dejó la base para que futuras mejoras del plugin también sigan buenas prácticas. Y claro: ahora JS Archive List es más seguro que nunca. Debo admitir que solo en la última semana del plazo pude sentarme a corregirlo (cosas de la vida), pero una vez entré en modo mantenimiento salió bastante fluido.

Luego tuve que entrar al sistema de WordFence y anunciar que el problema estaba corregido en la última versión. Tanto el grupo de hackers como el equipo de WordFence revisaron y confirmaron que todo está bien para cerrar la alerta en el sistema mencionado.

Reflexión final

Este fue un recordatorio amable de que mantener software libre significa estar dispuesto a revisarlo, actualizarlo y cuidarlo. Si usas JS Archive List, te recomiendo actualizar a la última versión. Y si alguna vez te toca lidiar con reportes de seguridad, tómalos como una oportunidad para pulir tu código y ayudar a hacer Internet un lugar mas seguro para todos.

¿Te ha pasado algo similar? ¿Descubriste vulnerabilidades en tu propio software?
Me encantaría leer tus experiencias en los comentarios.

Deja un comentario

Configurar ProtonVPN en Archlinux con OpenVPN

Publicado por Miguel Useche el 31 de octubre de 2018

Hace meses, Ronald Escalona un experto en seguridad informática me recomendó el uso de ProtonVPN. Abrí una cuenta gratuita en el sitio pero debes esperar a que te den respuesta luego de unas semanas debido a que el servicio gratuito es por cupos. Luego de recibir la invitación decidí probarlo en mi computadora con Arch Linux.

Logo de ProtonVPN

Configurar ProtonVPN en Arch Linux

ProtonVPN tiene compatibilidad con OpenVPN, desde el sitio de ellos puedes descargar una archivo .ovpn y configurar automáticamente el acceso. Pero al ejecutarlo me conseguí con el error:

Options error: --up script fails with '/etc/openvpn/update-resolv-conf': No such file or directory (errno=2)

Esto es debido a que el archivo de configuración de servidores DNS, ha cambiado en las últimas versiones de OpenVPN. Para ello primero debes instalar el paquete openvpn-update-systemd-resolved desde AUR:

trizen -S openvpn-update-systemd-resolved

En el ejemplo utilizo trizen (un wrapper de pacman) para instalar desde AUR. Una vez finalizada la instalación del paquete, solo debes editar el archivo .ovpn de ProtonVPN y colocar:

setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
script-security 2
up /etc/openvpn/scripts/update-systemd-resolved
down /etc/openvpn/scripts/update-systemd-resolved
down-pre

Guardas y ¡Listo! Estos cambios permiten que OpenVPN actualice los DNS en las versiones mas nuevas (utilizadas en Arch Linux),  una vez almacenado los cambios, deberías poder conectarte sin problemas.

Sobre el servicio

Hasta los momentos me ha parecido un buen servicio, además por una fuente (que no puedo mencionar) que realizó un estudio de privacidad de VPNs, me comentó que ProtonVPN no guarda registros de su conectados. Siendo uno de los servicios mas seguros del mercado. Se los recomiendo usar.

Deja un comentario

El pasado, presente y futuro de la Seguridad Informática

Publicado por Miguel Useche el 2 de mayo de 2018

En Mozilla suelen invitar a sus oficinas grandes profesionales para compartir su experticia en un área. Las ponencias son compartidas en tiempo real al personal y algunos voluntarios. De esta forma todos podemos aumentar nuestros conocimientos en diversas áreas de la web abierta. Hace unas semanas estuvo Mikko Hypponen, un experto en seguridad informática. Comentando sobre los ataques informáticos desde los inicios, los actuales y el futuro de los mismos.

El contenido del vídeo

Me encantó esta charla porque es interesante ver la evolución de las fallas informáticas, da nostalgia recordar como eran. Es increíble darse cuenta cómo lo que sucede actualmente, hace unos años era considerado ciencia ficción. Además, en la última sección del vídeo da un análisis muy interesante de como será el futuro de esto. ¡Ojalá no sea tan feo como lo predice!

Computer Security in the Past, Present and Future

Espero que te haya gustado y recuerda compartirlo con otros.

Happy hacking!

1 comentario

Utilidades de un micrófono espía

Publicado por Miguel Useche el 20 de enero de 2018

El micro espía ha revolucionado las formas de enterarnos de algunos detalles que las empresas o personas físicas no quieren desvelarnos. A priori parece un sistema ilegal pero cada vez está más asimilado por compañías de prestigio. En este artículo te mostraré buenas utilidades. ¿Las conocías todas?

Los micrófonos espía son un elemento que llevan bastante tiempo en el mercado. Con la utilidad de poder colocarlos en cualquier parte de la que queramos sacar una información relativa o a la que nos está costando mucho llegar, cada vez se venden más estos elementos con todos sus accesorios.

Conocer cuáles son las garantías que te va a dar un nuevo profesional o saber algo más de su vida es un detalle en el que a veces ponemos poca confianza. Con los audio espía hoy es mucho más sencilla cualquier gestión de información. ¿Te gustaría estar al tanto de las revoluciones que ha supuesto?

¿Cuáles son las utilidades más conocidas de un micrófono espía?

Los micrófonos espía se han introducido en nuestras vidas casi sin darnos cuenta. Cualquier persona que quiera saber más sobre la realidad de un profesional o de una empresa con la que ha contratado un tipo de trabajo tiene en éste un elemento estrella que tal vez antes no había valorado. A continuación te voy a poner al tanto de algunas de sus garantías. ¿Cuáles tienes tú en mente?

Evitar la estafa

Cuando hay algún tipo de desfalco o no nos cuadran cuentas determinadas, los micrófonos espías pueden ser el aliado perfecto para comprender la situación. Gracias a este elemento caminamos algo más sobre seguros y no tenemos miedo a que jueguen mal con nuestro dinero. Visto así supone una ventaja muy importante.

Ni siquiera por Internet

Poner un audio virtual que nos ayude a conocer cuáles son las intenciones de la empresa o profesional que hemos contratado nos saca muchas cosas en claro. Incluso cuando estamos a nivel internauta este elemento nos puede valer perfectamente. Especificar cache de navegador WordPress nos proporciona muy buenas alternativas que no debemos pasar por alto. ¿Lo has pensado alguna vez así?

Ganar en tranquilidad

Estar tranquilo es una sensación que no se compra ni con todo el dinero del mundo. Cuando ponemos un micrófono espía para estar al tanto de esas conversaciones que nos pueden desvelar un tipo de información concreta estamos ganando tranquilidad en nuestras acciones y dormimos de un tirón. Utilizar la herramienta con este fin es algo que no debemos dejar pasar. ¿Has aprendido a vivir mejor?

Cuidar nuestro ordenador de agentes externos

Hoy es muy sencillo dar con programas que desvelan información de nuestra persona solo con un pulsar una tecla. Si hemos estado hablando antes de cómo los micrófonos espía pueden adentrarnos mucho más en la vida y miseria de una persona, la vulnerabilidad del PC te dejaría sorprendido.

Optimizar mi PC para que todo esté en regla es una buena iniciativa que debemos tomar todas las personas que estamos haciendo uso del contenido en línea de forma habitual. En ocasiones se filtra mucha información que no queremos que llegue a otros solo porque no hemos usado un programa bueno o que nos haga las cosas justamente cómo nos hacía falta.

Internet es una fuente de información de la que todas las personas hacemos un uso reiterado pero igualmente debemos tener cuidado con qué es lo que se publica sobre nosotros ahí. Para que toda la documentación de nuestro ordenador se mantenga a salvo, es bueno gastar ahí dónde sabemos que podemos fallar.

Las compras en línea hoy son muy sencillas. Ya no tenemos que hacer uso del número de una tarjeta de crédito para disponer de un artículo, los pagos móviles han revolucionado este concepto y cada vez hay más personas que hacen uso del mismo. Muchos se preguntan Alipay que es y cuáles son las opciones que lo hacen tan efectivo.

Las nuevas tecnologías nos han dado un bálsamo de buenas referencias para estar siempre informado. Conocer cuáles son los límites de la red y qué tipo de material es el que podemos dejar aquí se ha convertido en la forma más sutil de disfrutar de lo que nos llega. ¿No te parece algo sencillamente perfecto?

Deja un comentario