La vulnerabilidad de WordPress alcanza +1 millón usando el complemento de encabezado y pie de página


Se ha descubierto que el complemento de WordPress WPCode – Insert Headers and Footers + Custom Code Snippets, con más de 1 millón de instalaciones, tiene una vulnerabilidad que podría permitir al atacante eliminar archivos en el servidor.

La advertencia de vulnerabilidad se publicó en la base de datos nacional de vulnerabilidad (NVD) del gobierno de EE. UU.

Inserción de encabezados y pies de página

El complemento WPCode (anteriormente conocido como Insertar encabezados y pies de página por WPBeginner), es un complemento popular que permite a los editores de WordPress agregar fragmentos de código al área del encabezado y pie de página.

Esto es útil para los editores que necesitan agregar el código de verificación del sitio de Google Search Console, el código CSS, los datos estructurados o incluso el código de AdSense, prácticamente cualquier cosa que pertenezca al encabezado o pie de página de un sitio web.

Vulnerabilidad de falsificación de solicitudes entre sitios (CSRF)

El complemento WPCode: insertar encabezados y pies de página anterior a la versión 2.0.9 contiene lo que se ha identificado como una vulnerabilidad de falsificación de solicitud entre sitios (CSRF).

Un ataque CSRF consiste en engañar a un usuario final registrado en el sitio de WordPress para que haga clic en un enlace que realiza una acción no deseada.

El atacante se basa esencialmente en las credenciales del usuario registrado para realizar acciones en el sitio donde está registrado el usuario.

Cuando un usuario de WordPress que ha iniciado sesión hace clic en un enlace que contiene una solicitud maliciosa, el sitio se ve obligado a ejecutar la solicitud porque utiliza un navegador con cookies que identifica correctamente al usuario que ha iniciado sesión.

Es la acción maliciosa que el usuario registrado realiza sin saberlo y en la que confía el atacante.

La organización sin fines de lucro Open Worldwide Application Security Project (OWASP) describe una vulnerabilidad CSRF:

“La falsificación de solicitud entre sitios (CSRF) es un ataque que obliga a un usuario final a realizar acciones no deseadas en una aplicación web en la que está autenticado actualmente.

Con un poco de ayuda de la ingeniería social (como enviar un enlace por correo electrónico o chat), un atacante puede engañar a los usuarios de una aplicación web para que realicen las acciones que elijan.

Si la víctima es un usuario normal, un ataque CSRF exitoso puede obligar al usuario a realizar solicitudes de cambio de estado, como transferir fondos, cambiar su dirección de correo electrónico, etc.

Si la víctima es una cuenta administrativa, CSRF puede comprometer toda la aplicación web.

El sitio web Common Weakness Enumeration (CWE), patrocinado por el Departamento de Seguridad Nacional de los Estados Unidos, ofrece una definición de este tipo de CSRF:

«La aplicación web no verifica o no puede verificar suficientemente si el usuario que envió la solicitud proporcionó intencionalmente una solicitud bien formada, válida y consistente.

…cuando un servidor web está diseñado para recibir una solicitud de un cliente sin ningún mecanismo para verificar que se envió intencionalmente, es posible que un atacante engañe a un cliente para que realice una solicitud no intencionada al servidor web que será tratada como una solicitud genuina.

Esto se puede hacer a través de URL, carga de imágenes, XMLHttpRequest, etc. y puede resultar en la exposición de datos o la ejecución de código no deseados.

En este caso particular, las acciones no deseadas se limitan a eliminar los archivos de registro.

La Base de Datos Nacional de Vulnerabilidad publicó los detalles de la vulnerabilidad:

“El complemento de WordPress de WPCode anterior a 2.0.9 tiene CSRF defectuoso al eliminar el registro y no garantiza que el archivo que se eliminará esté en la carpeta esperada.

Esto podría permitir a los atacantes hacer que los usuarios con la capacidad wpcode_activate_snippets eliminen archivos de registro arbitrarios en el servidor, incluso fuera de las carpetas del blog.

El sitio web de WPScan (propiedad de Automattic) ha publicado una prueba de concepto para la vulnerabilidad.

Una prueba de concepto, en este contexto, es un código que verifica y demuestra que una vulnerabilidad puede funcionar.

Aquí está la prueba de concepto:

"Make a logged in user with the wpcode_activate_snippets capability open the URL below

https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me.log

This will make them delete the ~/wp-content/delete-me.log"

Segunda vulnerabilidad para 2023

Esta es la segunda vulnerabilidad descubierta en 2023 para el complemento WPCode Insert Headers and Footers.

En febrero de 2023 se descubrió otra vulnerabilidad que afectaba a las versiones 2.0.6 o anteriores, que la firma de seguridad Wordfence WordPress describió como una «Falta el permiso para la divulgación/actualización de claves confidenciales».

Según el informe de vulnerabilidad de NVD, la vulnerabilidad también afectó a las versiones hasta la 2.0.7.

El NVD advirtió sobre la vulnerabilidad anterior:

«El complemento de WordPress WPCode anterior a 2.0.7 no tiene comprobaciones de privilegios adecuadas para varias acciones de AJAX, solo verifica el nonce.

Esto puede conducir a permitir que cualquier usuario autenticado que pueda editar publicaciones llame a los puntos finales relacionados con la autenticación de la biblioteca WPCode (como actualizar y eliminar la clave de autenticación).

WPCode lanzó un parche de seguridad

El registro de cambios para el complemento de WordPress WPCode – Insertar encabezados y pies de página señala de manera responsable que solucionaron un problema de seguridad.

Una notación de registro de cambios para la actualización 2.0.9 dice:

«Corrección: refuerzo de la seguridad para eliminar registros».

La notación del registro de cambios es importante porque alerta a los usuarios del complemento sobre el contenido de la actualización y les permite tomar una decisión informada sobre si continuar con la actualización o esperar a la siguiente.

WPCode actuó de manera responsable respondiendo al descubrimiento de la vulnerabilidad de manera oportuna y también anotando el parche de seguridad en el registro de cambios.

Acciones recomendadas

Se recomienda a los usuarios del complemento WPCode: insertar encabezados y pies de página que actualicen su complemento al menos a la versión 2.0.9.

La última versión del complemento es 2.0.10.

Lea sobre la vulnerabilidad en el sitio web de NVD:

CVE-2023-1624 Detalle

La entrada La vulnerabilidad de WordPress alcanza +1 millón usando el complemento de encabezado y pie de página se publicó primero en Seo Con SEM.



source https://seoconsem.es/2023/05/01/la-vulnerabilidad-de-wordpress-alcanza-1-millon-usando-el-complemento-de-encabezado-y-pie-de-pagina/

Comentarios

Publicar un comentario

Entradas populares de este blog

Texas Locksmiths

Using a smart key allows you to multi-control your vehicle, doing tasks such as starting the engine and locking and unlocking the doors. What's even better is that you can do all of this from afar. In addition, the device provides a superior security method for your vehicle. More information about  Emergency locksmith  can be found on our website. Carrying a lot of car keys is nearly a thing of the past, as more and more car owners choose for a smart key or intelligent key that allows them to manage their vehicle. The key is a tool that allows you to accomplish everything that traditional keys can do, such as start the car, lock and open doors, activate the alarm, and so on. Furthermore, you can perform all of this from afar, without even having to approach the car. The key's functioning range is typically between 5 and 20 metres. Have you ever wondered how your smart key can be so smart? You may have found it interesting, if not baffling, that such a small device can manage s...
Leer más

Google responde por qué todo el Top 10 es contenido «robado»

Imagen
Un editor del popular sitio de noticias The Verge tuiteó que un nuevo artículo había sido reemplazado en la primera página de los resultados de búsqueda de Google por otros sitios que lo copiaron. Danny Sullivan explica por qué sucede esto. El contenido de imitación que clasifica frustra a los editores El contenido de imitación que supera al original es algo con lo que los editores han expresado su frustración durante muchos años. Algunas de las quejas se deben a un malentendido. Por ejemplo, cuando una persona busca una frase sin sentido como palabras seleccionadas al azar en un artículo, Google no sabe qué hacer, no es una consulta de búsqueda real y no hay respuesta para una frase absurda. Entonces, lo que Google hace es usar una búsqueda de texto de forma predeterminada, lo que significa que Google devuelve resultados de búsqueda basados ​​en las palabras de una consulta de búsqueda que coinciden con las palabras en una página web . La prueba real de si el contenido copiado ...
Leer más

Car Key Locksmith

Unauthorized key duplication has compromised many current security systems. Even if a key has a "Do Not Duplicate" stamp on it, a non-professional key duplicator will duplicate it nevertheless. Maintenance staff, tenants, construction workers, and yes, even your employees will have no trouble obtaining a duplicate key for their personal use. For more inforation about  auto locksmith , visit our website. Even if someone has been dismissed or quit and has not returned a key, there are a few ways for keeping a protected location as it should be. To begin, replace all of the locks for which the key was used. This can take a long time, and the cost can soon build up. Second, you can employ proximity cards and readers with an access control system. This is also pricey, but you'll be able to invalidate a card without worrying about it losing its effectiveness. Finally, a number of keys are now available that can only be obtained from a specific authorised dealer. These dealers w...
Leer más