Una falla en un complemento antispam de WordPress con más de 200.000 instalaciones permite que se instalen complementos maliciosos en los sitios web afectados. Los investigadores de seguridad calificaron la vulnerabilidad con un 9,8 sobre 10, lo que refleja el alto nivel de gravedad determinado por los investigadores de seguridad.

Captura de pantalla de la clasificación de gravedad de la vulnerabilidad de CleanTalk

Vulnerabilidad del complemento antispam de WordPress CleanTalk

Se descubrió que un firewall antispam altamente calificado con más de 200.000 instalaciones tenía una vulnerabilidad de omisión de autenticación que permite a los atacantes obtener acceso completo a sitios web sin proporcionar un nombre de usuario o contraseña. La falla permite a los atacantes cargar e instalar cualquier complemento, incluido malware, lo que les otorga control total del sitio.

Los investigadores de seguridad de Wordfence identificaron que la falla en la protección contra spam, Anti-Spam, FireWall by CleanTalk, se debía a una suplantación de DNS inversa. DNS es el sistema que convierte una dirección IP en un nombre de dominio. La suplantación de DNS inversa es cuando un atacante manipula el sistema para mostrar que proviene de una dirección IP o nombre de dominio diferente. En este caso, los atacantes pueden engañar al complemento Ant-Spam diciéndole que la solicitud maliciosa proviene del propio sitio web y, debido a que ese complemento no tiene una verificación, los atacantes obtienen acceso no autorizado.

Esta vulnerabilidad se clasifica como: Autorización faltante. El sitio web de Enumeración de debilidades comunes (CWE) lo define como:

“El producto no realiza una verificación de autorización cuando un actor intenta acceder a un recurso o realizar una acción”.

Wordfence lo explica así:

“El complemento de protección contra spam, Anti-Spam, FireWall de CleanTalk para WordPress es vulnerable a la instalación arbitraria de complementos no autorizados debido a una omisión de autorización mediante suplantación de DNS inversa en la función checkWithoutToken en todas las versiones hasta la 6.43.2 inclusive. Esto hace posible que atacantes no autenticados instalen y activen complementos arbitrarios que pueden aprovecharse para lograr la ejecución remota de código si se instala y activa otro complemento vulnerable”.

Recomendación

Wordfence recomienda a los usuarios del complemento afectado que actualicen a la versión 6.44 o superior.

Lea el aviso de Wordfence:

Protección contra spam, antispam, FireWall de CleanTalk <= 6.43.2: omisión de autorización mediante suplantación de DNS inversa para instalación de complementos arbitrarios no autenticados

Imagen destacada de Shutterstock/SimpleB