Se ha emitido un aviso sobre una vulnerabilidad de WordPress de alta gravedad que permite a los atacantes inyectar códigos cortos arbitrarios en sitios que utilizan el complemento de publicaciones populares de WordPress. Los atacantes no necesitan una cuenta de usuario para lanzar un ataque.

WordPress Popular Posts está instalado en más de 100.000 sitios web, permite que los sitios web muestren las publicaciones más populares dentro de un período de tiempo determinado y ha sido traducido a dieciséis idiomas diferentes para extender su uso en todo el mundo. Viene con funciones de almacenamiento en caché para mejorar el rendimiento y una consola de administración que permite a los administradores de sitios web ver estadísticas de popularidad.

Vulnerabilidad del código corto de WordPress

Shortcodes es una característica que permite a los usuarios insertar funcionalidades dentro de una página web insertando un fragmento predefinido entre corchetes que inserta automáticamente un script que realiza una función, como agregar un formulario de contacto con un shortcode que se ve así: [add_contact_form].

WordPress está evolucionando gradualmente alejándose del uso de códigos cortos en favor de bloques con funcionalidades específicas. El sitio oficial para desarrolladores de WordPress alienta a los desarrolladores de complementos y temas a dejar de usar códigos cortos en favor de bloques dedicados, con la razón principal porque es un flujo de trabajo más fluido para un usuario seleccionar e insertar un bloque en lugar de configurar un código corto dentro de un complemento y luego insertarlo manualmente. el shortcode en una página web.

WordPress aconseja:

“Recomendaríamos que las personas eventualmente actualicen sus códigos cortos para que sean bloques”.

La vulnerabilidad descubierta en el complemento de publicaciones populares de WordPress se debe a la implementación de la funcionalidad de código corto, específicamente una parte llamada do_shortcode(), que es una función de WordPress para procesar y ejecutar códigos cortos que requiere desinfección de entrada y otras prácticas de seguridad estándar de temas y complementos de WordPress. .

Según un aviso publicado por Wordfence:

“El complemento WordPress Popular Posts para WordPress es vulnerable a la ejecución arbitraria de códigos cortos en todas las versiones hasta la 7.1.0 inclusive. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios”.

Esa parte sobre “validar un valor” generalmente significa verificar para garantizar que lo que el usuario ingresa (el “valor”), como el contenido de un código corto, se valide para confirmar que es seguro y se ajusta a las entradas esperadas antes de pasarlo a uso por parte del sitio web.

Registro de cambios oficial del complemento

Un registro de cambios es la documentación de lo que se actualiza, que a los usuarios del complemento les brinda la oportunidad de comprender lo que se actualiza y tomar decisiones sobre si actualizar su instalación o no, por lo que la transparencia es importante.

El complemento de publicaciones populares de WordPress es responsablemente transparente en su documentación de la actualización.

El registro de cambios del complemento aconseja:

“Soluciona un problema de seguridad que permite la ejecución arbitraria involuntaria de shortcode (¡felicitaciones para Mikemyers y el equipo de Wordfence!)”.

Acciones recomendadas

Todas las versiones del complemento de publicaciones populares de WordPress hasta la versión 7.1.0 incluida son vulnerables. Wordfence recomienda actualizar a la última versión del complemento, 7.2.0.

Lea el aviso oficial de Wordfence:

Publicaciones populares de WordPress <= 7.1.0 – Ejecución de código corto arbitrario no autenticado

Imagen destacada de Shutterstock/GrandeDuc