digitalDot diseño webLogo Diseño Web digitalDot

Vulnerabilidades críticas desde 2023

24/06/2024
Vulnerabilidades críticas de WordPress, WooCommerce y plugins de terceros

Vulnerabilidades críticas de WordPress

Más recientes

2024-04-09 Cross-Site Scripting sin autenticación

Esta vulnerabilidad fue publicada hace 20 días y ha comprometido hasta la versión más reciente de WordPress, WP 6.5, afortunadamente fue solventada en la 6.5.2, así como en todas las versiones inferiores donde también afectaba.

Este ataque se basa en aprovechar una situación que se ocasiona al WordPress no escapar el nombre del autor de su bloque Avatar (esto sucede con unas determinadas configuraciones de WordPress), de manera que si el blog emplea la configuración mencionada, esto puede inducir a ataques de Cross-Site Scripting.


2024-01-30 Subida de ficheros PHP por usuarios adm. no autorizados

Esta vulnerabilidad permite que usuarios que han sido otorgados el privilegio de administrador pero que tienen restringida la instalación y configuración de plugins, puedan subir ficheros PHP a través del complemento de carga de plugins.

Este problema quedó solventado en la versión 6.4.3 de WordPress.


2024-01-30 Deserialización de datos no seguros

Al actualizarse, WordPress, no limpia las configuraciones que tiene establecidas de manera previa, lo que puede ocasionar que usuarios con privilegios administrativos puedan realizar un ataque mediante la inyección de objetos PHP.


2023-12-06 Cadena POP y RCE

Hace algunos meses, WordPress introdujo el concepto de cadena de gadget. Esto por sí solo no supone ningún problema, pero si se usa de manera conjunta con una vulnerabilidad como la del apartado anterior, data-deserializing, sobre un complemento o tema de WordPress, puede dar lugar a la ejecución de código remoto (RCE).


2023-10-12 Revelación de correo del autor del post desautenticada

Esta vulnerabilidad surge porque hasta la versión 6.3.1, WordPress no implementó una correcta restricción de los campos de usuario que pueden buscarse a través de la API REST.


2023-10-12 Revelación de comentarios a colaboradores

WordPress no restringe de manera adecuada el acceso a los comentarios, de manera que los colaboradores pueden visualizar entradas de carácter privado que se encuentren protegidas con contraseña.


2023-10-12 Ejecución arbitraria de shortcode

WordPress no controla de forma correcta qué shortcodes pueden ser ejecutados a través de la acción AJAX parse_media_shortcode, permitiendo a cualquier usuario ejecutar shortcodes a su preferencia.

Nota: un shortcode permite añadir funcionalidades repetitivas sin necesidad de adjuntar de nuevo el código de manera completa.


2023-10-12 Denegación de servicio por envenenamiento de caché

Puede darse una situación de denegación de servicio cuando una cabecera X-HTTP-Method-Override es mandada en una solicitud a la REST API en configuraciones de mucha caché.


2023-10-12 XSS reflejado con solicitudes

Existen unos parámetros, success_url y reject_url que WordPress no restablece antes de devoverlos a la página cuando se solicitan contraseñas, lo que da lugar a la posibilidad de realizar Cross-Site Scripting reflejado contra cuentas con privilegios administrativos.


2023-10-12 XSS a través del bloque de navegación

WordPress no escapa algunas opciones del bloque de navegación al retroceder una página o post donde este bloque se encuentra implementado. Dando la posibilidad a colaboradores a realizar un ataque de XSS.


2023-10-12 XSS a través del bloque de notas al pie de página

WordPress no escapa opciones relativas al bloque de Footnotes block antes de devolverlas a la página o post anterior donde se encuentra incluido este bloque. Permitiendo así que un usuario con el rol de colaborador pueda llevar a cabo ataques de cross-site scripting.


2023-05-16 Inyección de contenido de colaboradores

WordPress no restaura correctamente algunos atributos de bloque, permitiendo que usuarios con un rol de colaborador o superior realicen inyección de contenido en comentarios de un blog usando un tema compatible con el editor de bloques.


2023-05-16 Ejecución de shortcodes en datos generados por el usuario

Se permite a usuarios no autenticados ejecutar los ya mencionados shortcodes en datos generados por el usuario.


De mayor relevancia

LearnPress

LearnPress constituye uno de los plugins LMS más empleados en WordPress, estos se enfocan a facilitar que el usuario pueda crear y vender herramientas didácticas como cursos, lecciones o cuestionarios.

A finales de 2022, principios de 2023, se publicó la versión 4.2.0 de este plugin que solventaba hasta tres vulnerabilidades críticas relacionadas con inyecciones SQL. Dos meses después, tan solo el 25% de los sitios webs que implementaban este plugin habían actualizado y tapado estas afecciones.

Las tres afecciones pueden causar que un atacante lleve a cabo un filtrado de datos inmenso en el servidor, desde contraseñas, información relativa a cuentas bancarias, hasta datos personales de los usuarios.

Vulnerabilidades críticas de WooCommerce

De mayor relevancia

Por parte de WooCommerce, gran parte de las vulnerabilidades que se ocasionaron eran de tipo Cross-Site Request Forgery, también conocidos como falsificación de petición o secuestro de sesión. En este caso afectando a diferentes plugins del propio WooCommerce, como al de recomendaciones de producto, o al de seguimiento de correos electrónicos.

Vemos además que las métricas de evaluación en estas vulnerabilidades son relativamente altas lo que indica que la gravedad de estas afecciones debe ser tenida muy en cuenta ya que supone un gran riesgo y compromiso.

AD 4nXdefXyqkFxSer8Zfwv XtK82CWfbWIgRm9ApAjlQihAApdLhvvCOB7Cq9YBrZTUfNkbPkYRljZ6BtrPjSA6iLaowwLh5KnLacKLep1KH9H5CV8vASPY0f9BldHM3TvQh5C85OfiR3tmFNpnuzh77MizRWYU?key=wsrk6EoFtLVulbv8tGLm9Q

A continuación se muestra un ejemplo muy visual de cómo funcionan este tipo de vulnerabilidades. Un atacante realiza una solicitud fraudulenta y la manda a su víctima para que clique en ella. Una vez la persona atacada accede al enlace, envía esta petición de fraude y la acción que el atacante indicó en la solicitud se valida en el servidor y se lleva a cabo. En el caso del ejemplo se trata de una transferencia de fondos.

AD 4nXd0QTmcGxqyPMpk3xXl6wdy UdGh2 mQs3Ng0hti4ZUXT64sR lNpGmRngnaiZa o1sDAF3njh vObSX

Ejemplos de este tipo de solicitudes son acciones tan típicas como borrar un registro, cambiar una contraseña, comprar un producto o enviar un mensaje.

Una práctica adecuada para protegerse de este tipo de ataques, consiste en implementar la utilización de tokens CSRF. No es más que la asignación de un token, un identificador único, a una sesión, el cual se comparte al servidor y al navegador del cliente. De manera que, cuando un cliente realiza una solicitud, el servidor espera a que esta incluya en su contenido el token asignado al cliente.

A continuación se muestra una solicitud donde no se emplean estos tokens mencionados:

AD 4nXfJNNb6V7b6U5 TvOKxNDWtjiZdkIqkCV11r2k7kIDCqOra8MsGWsQ4 I2hzwzmLRqw6NpgdnxBzNfRwRJlX389zav9iqsvx6M17HxXpuq V fqM iA9GeO0Zt4bX1 1YjKN2eIvzzqqaozB dMJRSjwa9?key=wsrk6EoFtLVulbv8tGLm9Q

Una vez se implementa este sistema de tokens, las solicitudes pasan a verse tal que así:

AD 4nXcoHlda PbNBUiayZSrdKPddLY vGYsl5Mc OkjEhce0pbF1Fr62zTROsRZ8Lau6pBH9xyYKDeBHMNQZU3RJBLymt

De hecho, un ataque CSRF como el explicado anteriormente afectó en su día al plugin de WooCommerce para la pasarela de pagos de Paypal.

AD 4nXfG8NuiFgi3orhfh8ehOC7mOJK1RjYMNq3tlHZzj Z6pEKxsqNQI0ZFZvm2DNOopOyhn6nnlcPxwVUnI 3NcQE H9dz j7dqrIGuWJGojMP4MUoLHQW32rxLY5gHEU6T84PVAvT 1wA7LorC2IjC RoOFov?key=wsrk6EoFtLVulbv8tGLm9Q

A continuación vemos dos fallas, relativamente recientes, de hace apenas unos meses, una de ellas con una valoración de 9.9 en las métricas CVSS.

Esta última se encuentra relacionada con la subida sin restringir de ficheros con vulnerabilidades en el plugin AutomateWoo, plugin dedicado a la automatización de marketing para WooCommerce, por ejemplo, para el envío de correos a clientes con carritos vacíos.

AD 4nXer8qkgIjZS2juQdwLsQ7chwnN7n wvRhcYQR AaXWhREBdGJEMfTYeM5bva9NXg MdHl gXoQxmYTrA1fnUi1vPqWSddCNUpp T6vcdZ
AD 4nXduZkH2 5DaWN2D2rJUf0cU2nYT2ok

Cronología

El siguiente gráfico muestra la publicación de vulnerabilidades de WooCommerce a lo largo del tiempo durante el año anterior, se indica código CVE, métrica CVSS y fecha de publicación.

Vulnerabilidades de WooCommerce

Para ver de manera más detallada la información de cada una de estas vulnerabilidades (falla de seguridad, métricas relacionadas con la probabilidad de explotación…), debe accederse al siguiente enlace:

Vulnerabilidades publicadas de WooCommerce durante 2023

Vulnerabilidades críticas de plugins de terceros

2024-03-19 Contests by Rewards Fuel < 2.0.65 - Authenticated (Contributor+) Stored Cross-Site Scripting via update_rewards_fuel_api_key


2024-03-19 Contests de Reward Fuel: XSS a través de la clave de la API

Esta vulnerabilidad permite realizar un ataque de ejecución de comandos cruzada a través del parámetro que maneja la clave de la API para Contests (plugin dedicado a realizar formularios y sobre todo concursos).


2024-03-21 Automatic de ValvePress: toma de control de sitios

Se trata de una vulnerabilidad muy básica pero con un alcance tremendo, basada en una simple inyección SQL en el proceso de autenticación de usuarios del plugin.


ZD YouTube FLV Player

Este plugin que permite incrustar vídeos de Youtube en una página web, es vulnerable a ataques de falsificación de solicitudes del lado del servidor, permitiendo que atacantes puedan hacer solicitudes a ubicaciones arbitrarias del servidor desde la propia web.


2023-06-29 WordPress Social Login and Register: bypass de autenticación

Esta vulnerabilidad en el plugin,  permite rodear/evitar el sistema de autenticación debido a una encriptación insuficiente en el login del usuario permitiendo así que los atacantes puedan iniciar sesión como cualquier usuario que deseen.

crossmenuchevron-down
×

Te resolvemos las dudas

Horario de atención al cliente:
L-V 8.00-14.00
L-J 14.00-18.00

×