La base de datos nacional de vulnerabilidades de los Estados Unidos publicó un aviso sobre dos vulnerabilidades descubiertas en el complemento All In One SEO WordPress.
El complemento All In One SEO (AIOSEO), que tiene más de tres millones de instalaciones activas, es vulnerable a dos ataques de secuencias de comandos entre sitios (XSS).
Las vulnerabilidades afectan a todas las versiones de AIOSEO hasta la versión 4.2.9 inclusive.
Secuencias de comandos entre sitios almacenadas
Los ataques de secuencias de comandos en sitios cruzados (XSS) son una forma de explotación de inyección que involucra la ejecución de secuencias de comandos maliciosas en el navegador de un usuario que luego pueden conducir al acceso a cookies, sesiones de usuario e incluso una toma de control del sitio.
Las dos formas más comunes de ataques Cross-Site Scripting son:
- Secuencias de comandos reflejadas entre sitios
- Secuencias de comandos entre sitios almacenadas
Un XSS reflejado se basa en enviar un script a un usuario que hace clic en él, que va al sitio vulnerable que luego “refleja” el ataque al usuario.
Un XSS almacenado es cuando el script malicioso está en el sitio vulnerable.
Los piratas informáticos se aprovechan de cualquier forma de entrada al sitio web, como un formulario de contacto, un formulario de carga de imágenes, cualquier área donde alguien pueda cargar o hacer un envío.
La vulnerabilidad surge cuando no hay controles de seguridad suficientes para bloquear entradas no deseadas.
Los dos problemas que afectan al complemento AIOSEO son vulnerabilidades de secuencias de comandos entre sitios almacenadas.
CVE-2023-0585
A las vulnerabilidades se les asignan números para realizar un seguimiento de ellas. Se asignó el primero, CVE-2023-0585.
Esta vulnerabilidad surge de la falta de sanitización de los insumos. Esto significa que se realiza un filtrado insuficiente para evitar que un hacker cargue un script malicioso.
El aviso de la base de datos nacional de vulnerabilidades (NVD) lo describe así:
“El complemento All in One SEO Pack para WordPress es vulnerable a las secuencias de comandos almacenadas entre sitios a través de múltiples parámetros en versiones hasta la 4.2.9 inclusive, debido a una desinfección de entrada insuficiente y escape de salida.
Esto hace posible que los atacantes autenticados con función de administrador o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada”.
A la vulnerabilidad se le asignó un nivel de amenaza de 4,4 (sobre diez), que es un nivel medio.
Un atacante primero debe adquirir privilegios de administrador o superior para perpetrar este ataque.
CVE-2023-0586
Este ataque es similar al primero. La principal diferencia es que un atacante debe asumir al menos un nivel de colaborador de privilegio de acceso al sitio web.
Un rol de nivel de colaborador tiene la capacidad de crear contenido pero no de publicarlo.
La vulnerabilidad también es una amenaza de nivel medio, pero se le asigna una puntuación de vulnerabilidad más alta de 6,4.
Esta es la descripción:
“El complemento All in One SEO Pack para WordPress es vulnerable a las secuencias de comandos almacenadas entre sitios a través de múltiples parámetros en versiones hasta la 4.2.9 inclusive, debido a una desinfección de entrada insuficiente y escape de salida.
Esto hace posible que los atacantes autenticados con el rol Contributor+ inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada”.
Acción sugerida
La primera vulnerabilidad requiere privilegios de nivel de administrador y se le asigna un puntaje de nivel de amenaza medio relativamente bajo de 4.4.
Pero la segunda vulnerabilidad solo requiere un nivel más bajo de privilegios y tiene una calificación más alta de 6.4.
En general, es una buena política actualizar todos los complementos vulnerables. La versión 4.3.0 del complemento AIOSEO es la que contiene la solución de seguridad, a la que se hace referencia en el registro de cambios oficial de AIOSEO como “fortalecimiento de la seguridad” adicional.
Lea los detalles de las dos vulnerabilidades:
CVE-2023-0585
CVE-2023-0586
Imagen destacada de Shutterstock/Bangun Stock Productions
Con información de Search Engine Journal.
Leer la nota Completa > La vulnerabilidad del complemento All In One SEO WordPress afecta a más de 3 millones