lunes, 3 de febrero de 2020

Más de 200,000 sitios de WordPress están en riesgo debido a la vulnerabilidad de fragmentos de código

Los expertos de Wordfence encontraron una peligrosa vulnerabilidad CSRF ( CVE-2020-8417 ) como parte del popular plugin Code Snippets diseñado para WordPress. Esencialmente, un error permite que un atacante tome el control completo de un recurso vulnerable.
Según las estadísticas oficiales de WordPress, los fragmentos de código de código abierto se han instalado en más de 200,000 sitios. El complemento está diseñado para ejecutar fragmentos para sitios PHP WordPress, y también proporciona una GUI conveniente para administrarlos, similar al menú Complementos.
La vulnerabilidad permitió a los atacantes falsificar solicitudes como administrador e inyectar código en sitios vulnerables, lo que finalmente llevó a la ejecución remota de código arbitrario en sitios con versiones vulnerables de fragmentos de código. El atacante pudo crear una nueva cuenta de administrador, obtuvo acceso a datos confidenciales, pudo atacar a los visitantes del recurso, etc.
Los investigadores dicen que, en general, el desarrollador del complemento pensó en la seguridad bastante bien, protegiendo casi todos los puntos finales con WordPress nonces, pero la función de importación no tenía esa protección contra CSRF. Por lo tanto, el atacante podría obligar al administrador a infectar su propio sitio utilizando una solicitud maliciosa especialmente preparada.
CSRF-RCE ahora se ha solucionado con el lanzamiento de Code Snippets versión 2.14.0. A juzgar por las estadísticas oficiales, aproximadamente 58,000 usuarios ya han descargado e instalado la última versión del complemento, lo que significa que al menos 140,000 sitios aún son vulnerables a los ataques. 
Un video que demuestra un ataque de PoC se puede ver a continuación. Los investigadores prometieron publicar el exploit el 12 de febrero, que desean dar a los usuarios de complementos más tiempo para instalar actualizaciones.

No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes