Una vulnerabilidad crítica en el plugin ThemeGrill Demo Importer, que viene junto a los Temas para WordPress desarrollados por la compañía ThemeGrill, fue descubierta recientemente y permitiría a un atacante acceder a cuentas con permisos de administrador y borrar el contenido de un sitio. El bug ya fue reparado en una actualización publicada el último fin de semana, por lo que se recomienda a los usuarios de WordPress que tengan instalado este plugin instalar la versión 1.6.3





Un popular plugin de temas para WordPress que cuenta con más de 200,000 instalaciones activas contiene una vulnerabilidad de software severa y fácil de explotar que, si no se parchea, podría permitir a los atacantes remotos no autenticados comprometer una amplia gama de sitios web y blogs.

Este plugin, que según el historial de WordPress fue descargado desde su lanzamiento más de un millón y medio de veces, permite a los administradores de un sitio importar de ThemeGrill las plantillas elegidas junto a los demos; es decir, el diseño exacto que el usuario ve en cada modelo de Tema, además de los widgets que son utilizados para cada modelo y los detalles de la configuración, haciendo que sea más sencillo para aquel que adquiere un Tema de ThemeGrill personalizarlo según sus intereses.

Según explicó el equipo de Web ARX, que fue quien descubrió la vulnerabilidad, el problema fue que en las versiones que van desde la 1.3.4 a la 1.6.1 de este plugin, el fallo permitiría a un atacante remoto y sin necesidad de autenticarse, borrar una base de datos completa (publicaciones, páginas, comentarios, nombres de usuarios, contraseñas, etc.) y llevarla a la configuración por defecto.

• https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer/

Automáticamente, luego de eso el atacante quedará registrado con permisos de administrador, ya que al llevar la cuenta de WordPress a la configuración por defecto se habrá creado un usuario con el nombre “admin”. Para lograr el ataque, el único requisito adicional es que el sitio apuntado tenga instalado un tema de ThemeGrill y tener también instalado el plugin vulnerable.

Según explican los investigadores en su publicación, antes del 15 de febrero los datos de WordPress mostraban que este plugin había sido instalado más de 200.000 veces, cifra que descendió a más de 100.000 al día 18 de febrero

Recomendamos a quienes utilicen este complemento actualizar lo antes posible a la última versión para estar protegidos.

Detalles técnicos

Entrando en detalles técnicos, el fallo radica en que una vez el plugin detecta que un tema ThemeGrill está instalado y activado, carga el archivo /includes/class-demo-importer.php que llama a reset_wizard_actions en admin_init en su línea 44.

La función admin_init se ejecuta no solo en el entorno de administración sino también en llamadas a /wp-admin/admin-ajax.php que no requieren que un usuario se autentique.

Igualmente, no hay verificación de autenticación en las funciones implicadas, y tan solo es necesario que el parámetro do_reset_wordpress esté presente en la URL de cualquier página basada en el ‘admin’ de WordPress, incluyendo /wp-admin/admin-ajax.php.

Parche:

Index: themegrill-demo-importer/trunk/includes/class-demo-importer.php
===================================================================
--- a/themegrill-demo-importer/trunk/includes/class-demo-importer.php
+++ b/themegrill-demo-importer/trunk/includes/class-demo-importer.php
@@ -378,4 +378,8 @@
         global $wpdb, $current_user;
 
+        if ( ! current_user_can( 'manage_options' ) ) {
+            wp_die( __( 'Cheatin’ huh?', 'themegrill-demo-importer' ) );
+        }
+        
         if ( ! empty( $_GET['do_reset_wordpress'] ) ) {
             require_once ABSPATH . '/wp-admin/includes/upgrade.php';

 Fuentes:
https://unaaldia.hispasec.com/2020/02/un-fallo-critico-en-un-plugin-para-wordpress-deja-vulnerables-mas-de-200-000-webs.html
https://www.welivesecurity.com/la-es/2020/02/18/vulnerabilidad-critica-plugin-wordpress-activo/