Los investigadores han revelado vulnerabilidades en varios complementos de WordPress que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web en ciertos escenarios.
Las fallas se descubrieron en Elementor, un complemento de creación de sitios web que se usa en más de siete millones de sitios, y WP Super Cache, una herramienta que se usa para servir páginas en caché de un sitio de WordPress.
Según Wordfence, que descubrió las debilidades de seguridad en Elementor, el error se refiere a un conjunto de vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) almacenadas (puntaje CVSS: 6.4), que ocurre cuando una secuencia de comandos maliciosa se inyecta directamente en una aplicación web vulnerable.
En este caso, debido a la falta de validación de las etiquetas HTML en el lado del servidor, un mal actor puede explotar los problemas para agregar JavaScript ejecutable a una publicación o página a través de una solicitud diseñada.
«Dado que los editores o administradores suelen revisar las publicaciones creadas por los colaboradores antes de publicarlas, cualquier JavaScript agregado a una de estas publicaciones se ejecutará en el navegador del revisor», dijo Wordfence en un artículo técnico. «Si un administrador revisó una publicación que contiene JavaScript malicioso, su sesión autenticada con privilegios de alto nivel podría usarse para crear un nuevo administrador malicioso o para agregar una puerta trasera al sitio. Un ataque a esta vulnerabilidad podría llevar a la toma de control del sitio».
Múltiples elementos HTML como el encabezado, la columna, el acordeón, el cuadro de iconos y el cuadro de imágenes se encontraron vulnerables al ataque XSS almacenado, lo que hizo posible que cualquier usuario acceda al editor de Elementor y agregue un JavaScript ejecutable.
Dado que las fallas aprovechan el hecho de que los datos dinámicos ingresados en una plantilla podrían aprovecharse para incluir scripts maliciosos destinados a lanzar ataques XSS, dicho comportamiento puede frustrarse validando la entrada y escapando los datos de salida para que las etiquetas HTML pasen como las entradas se vuelven inofensivas.
Por otra parte, se descubrió una vulnerabilidad de ejecución de código remoto autenticado (RCE) en WP Super Cache que podría permitir que un adversario cargue y ejecute código malicioso con el objetivo de obtener el control del sitio. Se informa que el complemento se usa en más de dos millones de sitios de WordPress.
Luego de la divulgación responsable el 23 de febrero, Elementor solucionó los problemas en la versión 3.1.4 lanzada el 8 de marzo al fortalecer las «opciones permitidas en el editor para aplicar mejores políticas de seguridad». Del mismo modo, Automattic, el desarrollador detrás de WP Super Cache, dijo que abordó el «RCE autenticado en la página de configuración» en la versión 1.7.2.
Se recomienda encarecidamente que los usuarios de los complementos actualicen a las últimas versiones para mitigar el riesgo asociado con las fallas.
