La base de datos nacional de vulnerabilidades (NVD) de EE. UU. y Wordfence publicaron un aviso de seguridad sobre una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) de alta gravedad que afecta al complemento de WordPress Nested Pages y afecta hasta +100.000 instalaciones. La vulnerabilidad recibió una calificación del Sistema de puntuación de vulnerabilidad común (CVSS) de 8,8 en una escala del 1 al 10, donde diez representa el nivel de gravedad más alto.

Falsificación de solicitudes entre sitios (CSRF)

La falsificación de solicitudes entre sitios (CSRF) es un tipo de ataque que aprovecha una falla de seguridad en el complemento Nested Pages que permite a atacantes no autenticados llamar (ejecutar) archivos PHP, que son los archivos de nivel de código de WordPress.

Falta una validación nonce o es incorrecta, que es una característica de seguridad común utilizada en los complementos de WordPress para proteger formularios y URL. Una segunda falla en el complemento es la falta de una característica de seguridad llamada desinfección. La desinfección es un método para proteger los datos de entrada o salida que también es común a los complementos de WordPress, pero que en este caso falta.

Según Wordfence:

“Esto se debe a una validación nonce faltante o incorrecta en la función ‘página de configuración’ y a la falta de santización del parámetro ‘pestaña'”.

El ataque CSRF se basa en lograr que un usuario de WordPress que haya iniciado sesión (como un administrador) haga clic en un enlace que a su vez permite al atacante completar el ataque. Esta vulnerabilidad tiene una calificación de 8,8, lo que la convierte en una amenaza de alta gravedad. Para poner esto en perspectiva, una puntuación de 8,9 es una amenaza de nivel crítico, que es un nivel aún más alto. Entonces, en 8.8 está apenas por debajo de una amenaza de nivel crítico.

Esta vulnerabilidad afecta a todas las versiones del complemento Nested Pages hasta la versión 3.2.7 incluida. Los desarrolladores del complemento lanzaron una solución de seguridad en la versión 3.2.8 y publicaron responsablemente los detalles de la actualización de seguridad en su registro de cambios.

El registro de cambios oficial documenta la solución de seguridad:

“Actualización de seguridad que soluciona el problema CSRF en la configuración del complemento”

Lea el aviso en Wordfence:

Páginas anidadas <= 3.2.7: falsificación de solicitudes entre sitios para inclusión de archivos locales

Lea el aviso en el NVD:

CVE-2024-5943 Detalle

Imagen destacada de Shutterstock/Dean Drobot