Si por algún motivo su sitio web basado en WordPress aún no se ha actualizado automáticamente a la última versión 5.1.1, se recomienda actualizarlo de inmediato antes de que los piratas informáticos puedan aprovechar una vulnerabilidad recientemente revelada para piratear su sitio web.
Simon Scannell, investigador de RIPS Technologies GmbH, que anteriormente informó sobre múltiples vulnerabilidades críticas en WordPress, descubrió una vez más una nueva falla en el software de administración de contenido (CMS) que podría conducir a ataques de ejecución remota de código.
La falla proviene de un problema de falsificación de solicitud entre sitios (CSRF) en la sección de comentarios de WordPress, uno de sus componentes principales que viene habilitado de manera predeterminada y afecta a todas las instalaciones de WordPress anteriores a la versión 5.1.1.
A diferencia de la mayoría de los ataques anteriores documentados contra WordPress, este nuevo exploit permite que incluso un «atacante remoto no autenticado» comprometa y obtenga la ejecución remota de código en los sitios web vulnerables de WordPress.
«Teniendo en cuenta que los comentarios son una característica central de los blogs y están habilitados de forma predeterminada, la vulnerabilidad afectó a millones de sitios», dice Scannell.
El exploit demostrado por Scannell se basa en múltiples problemas, que incluyen:
- WordPress no utiliza la validación CSRF cuando un usuario publica un nuevo comentario, lo que permite a los atacantes publicar comentarios en nombre de un administrador.
- Los comentarios publicados por una cuenta de administrador no son limpieza y pueden incluir etiquetas HTML arbitrarias, incluso etiquetas SCRIPT.
- La interfaz de WordPress no está protegida por el encabezado X-Frame-Options, lo que permite a los atacantes abrir un sitio de WordPress objetivo en un iFrame oculto desde un sitio web controlado por un atacante.
Al combinar todos estos problemas, un atacante puede inyectar silenciosamente una carga XSS almacenada en el sitio web de destino simplemente engañando a un administrador registrado para que visite un sitio web malicioso que contiene el código de explotación.
Según el investigador, el atacante puede incluso tomar el control completo de los sitios web de WordPress objetivo de forma remota mediante la inyección de una carga XSS que puede modificar la plantilla de WordPress directamente para incluir una puerta trasera PHP maliciosa, todo en un solo paso sin que el administrador se dé cuenta.
Después de que Scannell informara sobre esta vulnerabilidad en octubre del año pasado, el equipo de WordPress intenta mitigar el problema introduciendo un nonce adicional para los administradores en el formulario de comentarios, en lugar de simplemente habilitar la protección CSRF.
Sin embargo, Scannell también pudo eludir eso, después de lo cual el equipo de CMS finalmente lanzó WordPress 5.1.1 con un parche estable el miércoles.
Dado que WordPress instala automáticamente las actualizaciones de seguridad de forma predeterminada, ya debería estar ejecutando la última versión del software de administración de contenido.
Sin embargo, si se ha desactivado la actualización automática de su CMS, se le recomienda desactivar temporalmente los comentarios y cerrar sesión en su sesión de administrador hasta que se instale el parche de seguridad.
