La seguridad de unos 800.000 sitios web que utilizan WordPress está en peligro. El popular complemento All in One SEO, que es empleado por más de 3 millones de sitios web para mejorar el posicionamiento en motores de búsqueda, presenta dos vulnerabilidades críticas. Las mismas han sido abordas en una actualización lanzada el pasado 7 de diciembre, pero los webmasters están tardando en aplicar este parche.
El investigador de seguridad de Automattic, Marc Montpas descubrió los fallos de seguridad a principios de diciembre durante una auditoría interna al complemento All in One SEO. Una de las vulnerabilidades (CVE-2021-25036) podría permitir que un usuario con el rol de suscriptor adquiera privilegios elevados, mientras que la otra (CVE-2021-25037) abriría la puerta a las bases de datos con información privada.
Vulnerabilidad grave y fácil de explotar
Con el objetivo de distribuir las capacidades y permisos para cada tipo de usuario, los sitios de WordPress tienen diferentes roles. Se trata de administrador, editor, autor, colaborador o suscriptor. Este último tiene únicamente la capacidad de leer entradas y dejar comentarios en la mismas, pero aprovechándose de la vulnerabilidad CVE-2021-25036 podría llegar a actuar como administrador del sitio y así controlarlo por completo.
En líneas generales, y sin entrar en detalles técnicos que pueden ser consultados en este artículo de Jetpack, el atacante podría utilizar el complemento vulnerable para omitir las comprobaciones de privilegios requeridas por la API REST. Tan solo tendría que cambiar un carácter a mayúsculas en una petición. De esta forma podría, por ejemplo, ejecutar código malicioso en el servidor.
1-Authenticated Privilege Escalation
Affected versions: Every version between 4.0.0 and 4.1.5.2 inclusively.
CVE-ID: CVE-2021-25036
CVSSv3.1: 9.9
CWSS: 92.1
La otra vulnerabilidad (CVE-2021-25037), que depende de la anterior, podría permitir que el usuario que elevó sus privilegios efectúe una inyección de código SQL comprometiendo la seguridad de las bases de datos. Este ataque abriría las puertas para modificar los datos de las mismas o extraer información confidencial, incluidas las credenciales de los usuarios.
2.Authenticated SQL Injection
Affected versions: Every version between 4.1.3.1 and 4.1.5.2 inclusively.
CVE-ID: CVE-2021-25037
CVSSv3.1: 7.7
CWSS: 80.4
Actualizar ante vulnerabilidad de All in One SEO
Las mencionadas vulnerabilidades afectan a las versiones 4.0.0 a 4.1.5.2 de complemento All in One SEO. Para proteger los sitios web, los webmasters deberán instalar la versión 4.1.5.3 que se puede consultar desde este enlace. Asimismo se recomienda mantener todos los plugins actualizados para evitar posibles riegos de seguridad.
Fuentes:
No hay comentarios:
Publicar un comentario