Se descubrió que el complemento de seguridad de WordPress tiene dos vulnerabilidades que podrían permitir la carga maliciosa, las secuencias de comandos entre sitios y la visualización de contenidos de archivos arbitrarios.
Contenido del Articulo
Complemento de seguridad todo en uno de WordPress (AIOS).
El complemento WordPress All-in-One Security (AIOS), proporcionado por los editores de UpdraftPlus, ofrece funciones de seguridad y firewall diseñadas para bloquear a los piratas informáticos.
Ofrece protección de seguridad de inicio de sesión que bloquea a los intrusos, protección contra plagio, bloqueo de enlaces directos, bloqueo de comentarios no deseados y un firewall que sirve como defensa contra amenazas de piratería.
El complemento también aplica seguridad proactiva al alertar a los usuarios sobre errores comunes, como usar el nombre de usuario “admin”.
Es una suite de seguridad integral impulsada por los creadores de Updraft Plus, uno de los editores de complementos de WordPress más confiables.
Estas cualidades hacen que AIOS sea extremadamente popular, con más de un millón de instalaciones de WordPress.
Dos vulnerabilidades
La base de datos nacional de vulnerabilidades de los Estados Unidos (NVD) ha publicado un par de advertencias sobre dos vulnerabilidades.
1. Falla en el saneamiento de datos
La primera vulnerabilidad se debe a una falla en el saneamiento de datos, específicamente una falla al escapar de los archivos de registro.
La exfiltración de datos es un proceso de seguridad básico que elimina los datos confidenciales de los resultados generados por un complemento.
WordPress incluso tiene una página para desarrolladores dedicada al tema, con ejemplos de cómo hacerlo y cuándo hacerlo.
La página del desarrollador de WordPress en escapes explica:
“El escape de salida es el proceso de proteger los datos de salida mediante la eliminación de datos no deseados, como HTML no válido o etiquetas de secuencias de comandos.
Este proceso ayuda a proteger sus datos antes de que se entreguen al usuario final”.
NVD describe esta vulnerabilidad:
“El complemento de WordPress All-in-One Security (AIOS) anterior a 5.1.5 no escapa del contenido de los archivos de registro antes de exportarlos a la página de administración del complemento, lo que permite a un usuario autorizado (admin+) plantar registros falsos que contienen código JavaScript malicioso que se ejecutará en el contexto de cualquier administrador que visite esta página”.
2. Vulnerabilidad de cruce de directorio
La segunda vulnerabilidad parece ser una vulnerabilidad de Path Traversal.
Esta vulnerabilidad permite que un atacante aproveche una falla de seguridad para obtener acceso a archivos a los que normalmente no se podría acceder.
La organización sin fines de lucro Open Worldwide Application Security Project (OWASP) advierte que un ataque exitoso podría comprometer archivos críticos del sistema.
“Un ataque de recorrido de ruta (también conocido como recorrido de directorio) tiene como objetivo acceder a archivos y directorios almacenados fuera de la carpeta web raíz.
Mediante la manipulación de variables que hacen referencia a archivos con secuencias “punto-punto-barra (../)” y sus variantes, o el uso de rutas de archivo absolutas, es posible acceder a archivos y directorios arbitrarios almacenados en el sistema de archivos, incluido el código fuente de la aplicación. o configuración y archivos críticos del sistema”.
NVD describe esta vulnerabilidad:
“El complemento de WordPress All-in-One Security (AIOS) anterior a 5.1.5 no restringe los archivos de registro que se mostrarán en sus páginas de configuración, lo que permite a un usuario autorizado (admin+) ver el contenido de archivos arbitrarios y enumerar directorios en cualquier lugar del servidor (accedido por el servidor web).
El complemento solo muestra las últimas 50 líneas del archivo”.
Ambas vulnerabilidades requieren que un atacante obtenga credenciales de nivel de administrador para explotar, lo que puede dificultar el ataque.
Sin embargo, uno esperaría que un complemento de seguridad no tuviera este tipo de vulnerabilidades evitables.
Considere actualizar el complemento AIOS WordPress
AIOS lanzó un parche para la versión 5.1.6 del complemento. Los usuarios pueden considerar actualizar al menos a la versión 5.1.6 y posiblemente a la última versión, 5.1.7, que corrige un error que ocurre cuando el firewall no está configurado.
Lea los dos boletines de seguridad de NVD
CVE-2023-0157 Anulación de entrada incorrecta al crear páginas web (“Cross-Site Scripts”)
CVE-2023-0156 Restricción de nombre de ruta incorrecta en directorio restringido (“Traslado de ruta”)
Imagen destacada de Shutterstock/Kues
