La vulnerabilidad del complemento antispam de WordPress afecta a más de 60,000 sitios web

Un complemento antispam de WordPress con más de 60,000 instalaciones corrige una vulnerabilidad de inyección de objetos PHP causada por la desinfección incorrecta de las entradas y luego permite la entrada del usuario codificada en base64.

Inyección de objetos PHP sin autenticación

Se ha descubierto una vulnerabilidad en el popular Stop Spammers Security | Bloquee usuarios de spam, comentarios, complementos de WordPress.

El propósito del complemento es detener el spam en comentarios, formularios y registros. Puede detener los bots de spam y tiene la capacidad de que los usuarios ingresen direcciones IP para bloquear.

Es una práctica requerida para cualquier complemento o formulario de WordPress que acepte una entrada del usuario para permitir solo ciertas entradas, como texto, imágenes, direcciones de correo electrónico, cualquier entrada que se espere.

Las entradas inesperadas deben filtrarse. Este proceso de filtrado que evita las entradas no deseadas se llama saneamiento.

Por ejemplo, un formulario de contacto debe tener una función que inspeccione lo que se envía y excluya (desinfecte) cualquier cosa que no sea texto.

La vulnerabilidad descubierta en el complemento antispam permitía la inyección codificada (base codificada 64) que luego puede desencadenar un tipo de vulnerabilidad llamada vulnerabilidad de inyección de objetos PHP.

La descripción de la vulnerabilidad publicada en el sitio web de WPScan describe el problema de la siguiente manera:

“El complemento pasa la entrada del usuario codificada en base64 a la función PHP unserialize () cuando se usa CAPTCHA como un segundo desafío, lo que podría conducir a la inyección de objetos PHP si un complemento instalado en el blog tiene una cadena de gadgets adecuada…”

La clasificación de vulnerabilidad es Esterilización insegura.

El Open Web Application Security Project (OWASP) sin fines de lucro describe el impacto potencial de este tipo de vulnerabilidades como grave, que puede o no ser específico de esta vulnerabilidad.

La descripción en OWASP:

“El impacto de los defectos de eliminación no se puede exagerar. Estos defectos pueden dar lugar a ataques de ejecución remota de código, uno de los ataques más graves posibles.
El impacto comercial depende de la aplicación y las necesidades de protección de datos”.

Pero OWASP también señala que explotar este tipo de vulnerabilidad tiende a ser difícil:

“Explotar la deserialización es algo difícil, ya que los exploits estándar rara vez funcionan sin cambios o modificaciones en el código de explotación subyacente”.

La vulnerabilidad en el complemento de WordPress Stop Spammers Security se corrigió en la versión 2022.6

El registro de cambios oficial de Stop Spammers Security (una descripción con fechas de varias actualizaciones) señala la solución como una mejora de seguridad.

Los usuarios del complemento Stop Spam Security deben considerar actualizar a la última versión para evitar que un hacker explote el complemento.

Lea el aviso oficial en la Base de Datos Nacional de Vulnerabilidad del gobierno de los Estados Unidos:

CVE-2022-4120 Detalle

Lea la publicación de WPScan que detalla esta vulnerabilidad:

Stop Spammers Security < 2022.6 – Inyección de objetos PHP no autenticados

Imagen destacada de Shutterstock/Luis Molinero

Previous post Branding para el inconsciente colectivo | Michael F. Buckley | diciembre 2022
Next post ¡Estadísticas de marketing de contenido 2023, amenazas cibernéticas y más!

Deja una respuesta