La vulnerabilidad del complemento antispam de WordPress afecta hasta 60,000 sitios


Un complemento antispam de WordPress con más de 60 000 instalaciones corrigió una vulnerabilidad de inyección de objetos PHP que resultó de una desinfección de entrada incorrecta, lo que posteriormente permitió la entrada del usuario codificada en base64.

Inyección de objetos PHP no autenticados

Se ha descubierto una vulnerabilidad en el popular Stop Spammers Security | Bloquee usuarios de spam, comentarios, formularios de complementos de WordPress.

El propósito del complemento es detener el spam en comentarios, formularios y registros. Puede detener los robots de spam y permite a los usuarios ingresar direcciones IP para bloquear.

Es una práctica obligatoria para cualquier complemento o formulario de WordPress que acepte la entrada del usuario permitir solo entradas específicas, como texto, imágenes, direcciones de correo electrónico, cualquier entrada esperada.

Las entradas inesperadas deben filtrarse. Este proceso de filtrado que evita entradas no deseadas se denomina saneamiento.

Por ejemplo, un formulario de contacto debe tener una función que inspeccione lo que se envía y bloquee (desinfecte) cualquier cosa que no sea texto.

La vulnerabilidad descubierta en el complemento antispam permitió la entrada codificada (codificada en base64) que luego puede desencadenar un tipo de vulnerabilidad llamada vulnerabilidad de inyección de objetos PHP.

La descripción de la vulnerabilidad publicada en el sitio web de WPScan describe el problema de la siguiente manera:

«El complemento pasa la entrada del usuario codificada en base64 a la función PHP unserialize () cuando se usa CAPTCHA como un segundo desafío, lo que podría conducir a la inyección de objetos PHP si un complemento instalado en el blog tiene una cadena de gadgets apropiada…»

La clasificación de vulnerabilidad es Deserialización insegura.

La organización sin fines de lucro Open Web Application Security Project (OWASP) describe el impacto potencial de este tipo de vulnerabilidades como grave, que puede o no ser el caso específico de esta vulnerabilidad.

La descripción en OWASP:

«El impacto de las fallas de deserialización no se puede subestimar. Estas fallas pueden conducir a ataques de ejecución remota de código, uno de los ataques más graves posibles.
El impacto comercial depende de las necesidades de protección de la aplicación y los datos.

Pero OWASP también señala que explotar este tipo de vulnerabilidad tiende a ser difícil:

«Explotar la deserialización es algo difícil, ya que los exploits listos para usar rara vez funcionan sin cambios o ajustes en el código de explotación subyacente».

Vulnerabilidad del complemento WordPress Stop Spammers Security corregida en la versión 2022.6

El registro de cambios oficial de Stop Spammers Security (una descripción con las fechas de las diversas actualizaciones) señala el parche como una mejora de seguridad.

Los usuarios del complemento Stop Spam Security deben considerar actualizar a la última versión para evitar que un hacker explote el complemento.

Lea la notificación oficial en la base de datos de vulnerabilidad nacional del gobierno de EE. UU.:

CVE-2022-4120 Detalle

Lea la publicación de WPScan para obtener detalles relacionados con esta vulnerabilidad:

Stop Spammers Security < 2022.6 - Inyección de objetos PHP no autenticados Imagen destacada de Shutterstock/Luis Molinero

var s_trigger_pixel_load = false; function s_trigger_pixel(){ if( !s_trigger_pixel_load ){ setTimeout(function(){ striggerEvent( 'load2' ); }, 500); window.removeEventListener("scroll", s_trigger_pixel, false ); console.log('s_trigger_pixel'); } s_trigger_pixel_load = true; } window.addEventListener( 'scroll', s_trigger_pixel, false);

window.addEventListener( 'load2', function() {

if( sopp != 'yes' && addtl_consent != '1~' && !ss_u ){

!function(f,b,e,v,n,t,s) {if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}; if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0'; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)}(window,document,'script', 'https://connect.facebook.net/en_US/fbevents.js');

if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }

fbq('init', '1321385257908563');

fbq('track', 'PageView');

fbq('trackSingle', '1321385257908563', 'ViewContent', { content_name: 'wordpress-anti-spam-plugin-vulnerability-affects-up-to-60000-sites', content_category: 'news wp' }); } });

La entrada La vulnerabilidad del complemento antispam de WordPress afecta hasta 60,000 sitios se publicó primero en Seo Con SEM.



source https://seoconsem.es/2022/12/27/la-vulnerabilidad-del-complemento-antispam-de-wordpress-afecta-hasta-60000-sitios/

Comentarios

Publicar un comentario

Entradas populares de este blog

Google responde por qué todo el Top 10 es contenido «robado»

Imagen
Un editor del popular sitio de noticias The Verge tuiteó que un nuevo artículo había sido reemplazado en la primera página de los resultados de búsqueda de Google por otros sitios que lo copiaron. Danny Sullivan explica por qué sucede esto. El contenido de imitación que clasifica frustra a los editores El contenido de imitación que supera al original es algo con lo que los editores han expresado su frustración durante muchos años. Algunas de las quejas se deben a un malentendido. Por ejemplo, cuando una persona busca una frase sin sentido como palabras seleccionadas al azar en un artículo, Google no sabe qué hacer, no es una consulta de búsqueda real y no hay respuesta para una frase absurda. Entonces, lo que Google hace es usar una búsqueda de texto de forma predeterminada, lo que significa que Google devuelve resultados de búsqueda basados ​​en las palabras de una consulta de búsqueda que coinciden con las palabras en una página web . La prueba real de si el contenido copiado
Leer más

Texas Locksmiths

Using a smart key allows you to multi-control your vehicle, doing tasks such as starting the engine and locking and unlocking the doors. What's even better is that you can do all of this from afar. In addition, the device provides a superior security method for your vehicle. More information about  Emergency locksmith  can be found on our website. Carrying a lot of car keys is nearly a thing of the past, as more and more car owners choose for a smart key or intelligent key that allows them to manage their vehicle. The key is a tool that allows you to accomplish everything that traditional keys can do, such as start the car, lock and open doors, activate the alarm, and so on. Furthermore, you can perform all of this from afar, without even having to approach the car. The key's functioning range is typically between 5 and 20 metres. Have you ever wondered how your smart key can be so smart? You may have found it interesting, if not baffling, that such a small device can manage so
Leer más

Car Key Locksmith

Unauthorized key duplication has compromised many current security systems. Even if a key has a "Do Not Duplicate" stamp on it, a non-professional key duplicator will duplicate it nevertheless. Maintenance staff, tenants, construction workers, and yes, even your employees will have no trouble obtaining a duplicate key for their personal use. For more inforation about  auto locksmith , visit our website. Even if someone has been dismissed or quit and has not returned a key, there are a few ways for keeping a protected location as it should be. To begin, replace all of the locks for which the key was used. This can take a long time, and the cost can soon build up. Second, you can employ proximity cards and readers with an access control system. This is also pricey, but you'll be able to invalidate a card without worrying about it losing its effectiveness. Finally, a number of keys are now available that can only be obtained from a specific authorised dealer. These dealers w
Leer más