Se descubrió que el complemento de seguridad de WordPress tiene dos vulnerabilidades que podrían permitir una carga maliciosa, secuencias de comandos entre sitios y permitir la visualización de contenidos de archivos arbitrarios.

Complemento de WordPress de seguridad todo en uno (AIOS)

El complemento de WordPress All-In-One Security (AIOS), proporcionado por los editores de UpdraftPlus, ofrece funciones de seguridad y firewall diseñadas para bloquear a los piratas informáticos.

Ofrece protección de seguridad de inicio de sesión que bloquea a los atacantes, protección contra plagio, bloqueo de enlaces directos, bloqueo de comentarios no deseados y un firewall que sirve como defensa contra amenazas de piratería.

El complemento también aplica seguridad proactiva al alertar a los usuarios sobre errores comunes, como usar el nombre de usuario “admin”.

Es un paquete de seguridad integral respaldado por los creadores de Updraft Plus, uno de los editores de complementos de WordPress más confiables.

Estas cualidades hacen que AIOS sea muy popular, con más de un millón de instalaciones de WordPress.

Dos vulnerabilidades

La base de datos nacional de vulnerabilidades (NVD) del gobierno de los Estados Unidos publicó un par de advertencias sobre dos vulnerabilidades.

1. Falla en el saneamiento de datos

La primera vulnerabilidad se debe a una falla en el saneamiento de datos, específicamente una falla al escapar de los archivos de registro.

El escape de datos es un proceso de seguridad básico que elimina los datos confidenciales de los resultados generados por un complemento.

WordPress incluso tiene una página para desarrolladores dedicada al tema, con ejemplos de cómo hacerlo y cuándo hacerlo.

La página de desarrollador de WordPress sobre salidas de escape explica:

“Escapar de la salida es el proceso de proteger los datos de salida eliminando los datos no deseados, como etiquetas de secuencias de comandos o HTML con formato incorrecto.

Este proceso ayuda a proteger sus datos antes de entregarlos al usuario final”.

El NVD describe esta vulnerabilidad:

“El complemento de WordPress All-In-One Security (AIOS) anterior a 5.1.5 no escapa al contenido de los archivos de registro antes de enviarlo a la página de administración del complemento, lo que permite a un usuario autorizado (admin+) plantar archivos de registro falsos que contienen código JavaScript malicioso. que se ejecutará en el contexto de cualquier administrador que visite esta página”.

2. Vulnerabilidad de cruce de directorios

La segunda vulnerabilidad parece ser una vulnerabilidad de Path Traversal.

Esta vulnerabilidad permite que un atacante aproveche una falla de seguridad para acceder a archivos que normalmente no serían accesibles.

La organización sin fines de lucro Open Worldwide Application Security Project (OWASP) advierte que un ataque exitoso podría comprometer archivos críticos del sistema.

“Un ataque de cruce de ruta (también conocido como cruce de directorio) tiene como objetivo acceder a archivos y directorios que están almacenados fuera de la carpeta raíz web.

Mediante la manipulación de variables que hacen referencia a archivos con secuencias ‘punto-punto-barra (../)’ y sus variaciones o mediante el uso de rutas de archivo absolutas, es posible acceder a archivos y directorios arbitrarios almacenados en el sistema de archivos, incluido el código fuente o la configuración de la aplicación. y archivos críticos del sistema.”

El NVD describe esta vulnerabilidad:

“El complemento de WordPress All-In-One Security (AIOS) anterior a 5.1.5 no limita qué archivos de registro mostrar en sus páginas de configuración, lo que permite a un usuario autorizado (admin+) ver el contenido de archivos arbitrarios y listar directorios en cualquier lugar del servidor (al que tiene acceso el servidor web).

El complemento solo muestra las últimas 50 líneas del archivo”.

Ambas vulnerabilidades requieren que un atacante adquiera credenciales de nivel de administrador para explotar el ataque, lo que podría dificultar que ocurra el ataque.

Sin embargo, uno espera que un complemento de seguridad no tenga este tipo de vulnerabilidades prevenibles.

Considere actualizar el complemento AIOS WordPress

AIOS lanzó un parche en la versión 5.1.6 del complemento. Es posible que los usuarios deseen considerar actualizar al menos a la versión 5.1.6, y posiblemente a la última versión, 5.1.7, que soluciona un bloqueo que ocurre cuando el firewall no está configurado.

Lea los dos boletines de seguridad de NVD

CVE-2023-0157 Neutralización incorrecta de la entrada durante la generación de páginas web (“Cross-site Scripting”)

CVE-2023-0156 Limitación incorrecta de un nombre de ruta a un directorio restringido (‘Path Traversal’)

Imagen destacada de Shutterstock/Kues


Con información de Search Engine Journal.

Leer la nota Completa > La vulnerabilidad del complemento de seguridad de WordPress afecta a más de 1 millón de sitios

LEAVE A REPLY

Please enter your comment!
Please enter your name here