{"id":34925,"date":"2020-01-15T12:15:00","date_gmt":"2020-01-15T12:15:00","guid":{"rendered":"https:\/\/contactform7.com\/?p=34925"},"modified":"2020-12-01T12:16:10","modified_gmt":"2020-12-01T03:16:10","slug":"heads-up-about-spreadsheet-vulnerabilities","status":"publish","type":"post","link":"https:\/\/contactform7.com\/es\/2020\/01\/15\/heads-up-about-spreadsheet-vulnerabilities\/","title":{"rendered":"Aviso sobre vulnerabilidades en hojas de c\u00e1lculo"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Se sabe que <a href=\"https:\/\/www.contextis.com\/en\/blog\/comma-separated-vulnerabilities\">existen vulnerabilidades que afectan a las aplicaciones de hojas de c\u00e1lculo<\/a> como Microsoft Excel y OpenOffice Calc desde hace m\u00e1s de 5 a\u00f1os, y desafortunadamente todav\u00eda parecen estar sin resolver.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aunque no es una vulnerabilidad de WordPress o de sus plugins, debido a que debe haber muchos usuarios de nuestros productos que corren el riesgo de estas vulnerabilidades, y el da\u00f1o podr\u00eda ser enorme, cre\u00ed que deb\u00eda escribir un art\u00edculo aqu\u00ed para alertarles del problema.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\">Para aprovecharse de estas vulnerabilidades, los atacantes te env\u00edan un archivo de hoja de c\u00e1lculo que incluye f\u00f3rmulas elaboradas de forma maliciosa en sus celdas, y te llevan a abrirlo con una aplicaci\u00f3n de hoja de c\u00e1lculo en tu ordenador. Si las condiciones son correctas, la aplicaci\u00f3n de hoja de c\u00e1lculo interpreta las f\u00f3rmulas y, en el peor de los casos, dejar\u00e1 que los atacantes ejecuten comandos arbitrarios del sistema operativo en tu equipo.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">No solo los archivos de Excel, sino tambi\u00e9n otros formatos de hojas de c\u00e1lculo, incluidos los CSV, son conocidos por ser usados para tales aprovechamientos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Algunos plugins de WordPress tienen la capacidad de exportar sus datos como un archivo CSV. Para mitigar el riesgo ser\u00eda deseable que tales plugins hicieran imposible la producci\u00f3n de datos de celdas que puedan ser interpretados como f\u00f3rmulas.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/contactform7.com\/es\/save-submitted-messages-with-flamingo\/\">Flamingo<\/a> es uno de esos plugins. Flamingo desde la versi\u00f3n 2.1.1 en adelante, limpia los datos de campos CSV que comienzan con <code>=<\/code>, <code>+<\/code>, <code>-<\/code>, o <code>@<\/code>. Ver\u00e1s campos como el siguiente si se ha aplicado esta limpieza:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>(Alerta de seguridad: Se ha detectado contenido sospechoso. Ver https:\/\/contactform7.com\/es\/heads-up-about-spreadsheet-vulnerabilities\/ para m\u00e1s detalles.) =cmd|&#8217; \/C calc&#8217;!A0<\/p><\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Sin embargo, como no todos los campos que comienzan con <code>=<\/code>, <code>+<\/code>, <code>-<\/code>, o <code>@<\/code> son necesariamente f\u00f3rmulas maliciosas, esta limpieza podr\u00eda ser solo una gentileza indeseable en algunos casos. Si quieres desactivarla, o usar otro texto como prefijo, puedes usar el gancho de filtro <code>flamingo_csv_field_prefix<\/code> para hacerlo. Por ejemplo, la siguiente l\u00ednea de c\u00f3digo a\u00f1ade una cadena vac\u00eda como prefijo a un campo de datos:<\/p>\n\n\n<div class=\"wp-block-syntaxhighlighter-code \"><pre class=\"brush: php; title: ; notranslate\" title=\"\">\nadd_filter( &#039;flamingo_csv_field_prefix&#039;, &#039;__return_empty_string&#039; );\n<\/pre><\/div>\n\n\n<p class=\"wp-block-paragraph\">Ten en cuenta que esto no remedia el problema de la vulnerabilidad en s\u00ed mismo. Las vulnerabilidades existen en las aplicaciones de hojas de c\u00e1lculo que usas y los atacantes pueden seguir usando muchos otros canales para enviarte archivos de hojas de c\u00e1lculo maliciosos.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Para protegerte a ti mismo, ten en cuenta:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Mant\u00e9n las aplicaciones actualizadas y usa solo las \u00faltimas versiones seguras.<\/li><li>No abras archivos de las aplicaciones si no est\u00e1s seguro de los datos que contienen.<\/li><\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Se sabe que existen vulnerabilidades que afectan a las aplicaciones de hojas de c\u00e1lculo como Microsoft Excel y OpenOffice Calc desde hace m\u00e1s de 5 a\u00f1os, y desafortunadamente todav\u00eda parecen estar sin resolver. Aunque no es una vulnerabilidad de WordPress o de sus plugins, debido a que debe haber muchos usuarios de nuestros productos que &hellip; <a href=\"https:\/\/contactform7.com\/es\/2020\/01\/15\/heads-up-about-spreadsheet-vulnerabilities\/\" class=\"more-link\">Seguir leyendo <span class=\"screen-reader-text\">Aviso sobre vulnerabilidades en hojas de c\u00e1lculo<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_locale":"es_ES","_original_post":"33989","footnotes":"","jetpack_post_was_ever_published":false},"categories":[20,25],"tags":[7],"class_list":["post-34925","post","type-post","status-publish","format-standard","hentry","category-announcement","category-security","tag-flamingo","es-ES"],"jetpack_featured_media_url":"","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/posts\/34925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/comments?post=34925"}],"version-history":[{"count":0,"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/posts\/34925\/revisions"}],"wp:attachment":[{"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/media?parent=34925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/categories?post=34925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contactform7.com\/wp-json\/wp\/v2\/tags?post=34925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}