Hace
una semana WordPress publicó
la versión 4.7.2 de WordPress
destinada a solucionar tres vulnerabilidades. Sin embargo, acaba
de anunciar que esa versión también corregía una grave vulnerabilidad que podría permitir a usuarios sin autenticar elevar
sus privilegios o inyectar contenido.
WordPress es un sistema de
gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y
MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de
uso y sus características como gestor de contenidos.
La publicación
original de WordPress informaba sobre tres vulnerabilidades que podrían
permitir realizar ataques de cross-site scripting, exponer información o
posibilitar la realización de inyección SQL. Pero realmente esta versión
también corregía una grave vulnerabilidad en WordPress 4.7 y 4.7.1 que puede
permitir a cualquier atacante elevar sus privilegios y modificar el contenido
de cualquier publicación o página de un sitio WordPress.
En su último anuncio WordPress confirma
que cree en la transparencia y la divulgación de los problemas de seguridad. No a la seguridad por oscuridad. Pero
en este caso, afirma que retrasó intencionadamente el anunció de esta
vulnerabilidad una semana para garantizar la seguridad de sus usuarios, y dar
tiempo a la actualización.
"It is our stance that security issues should always be disclosed. In this case, we intentionally delayed disclosing this issue by one week to ensure the safety of millions of additional WordPress sites."
El problema, que fue descubierto
por Sucuri y
reportado a WordPress de forma responsable, reside en la API REST. El propio
equipo de Securi afirma
que el equipo de seguridad de WordPress lo gestionó "extremadamente bien". También confirma que la misma versión 4.7.2 incluye la corrección
de otros problemas menos graves.
Do you manage a #Wordpress site or know someone who does? Content Injection Vulnerability in WordPress 4.7 and 4.7.1 https://t.co/EkJgE9SVEa— Sucuri (@sucurisecurity) 1 de febrero de 2017
Securi ha publicado
los detalles técnicos del problema que mediante el envío de una petición
específicamente manipulada cualquier atacante puede modificar el contenido de
una publicación en el sitio web. Tras ello, incluso puede añadir algún pequeño código
específico para un plugin para explotar otros fallos que normalmente están
restringidos a usuarios con privilegios. Un atacante podrá emplear el compromiso
para spam SEO, inyectar anuncios o incluso ejecutar código php. Todo dependerá
de los plugins habilitados.
También hay que señalar que
debido a la forma en que fue comunicado y corregido, no hay ninguna evidencia
de que la vulnerabilidad haya sido aprovechada en ataques reales.
Sin duda este anuncio vuelve a abrir
un interesante debate sobre los problemas
que deben ser anunciados y como debe realizarse la divulgación de los mismos.
En conclusión, si no se tienen
activadas las actualizaciones automáticas en WordPress se recomienda la
actualización a la versión 4.7.2 tan pronto sea posible, disponible desde:
O bien desde el dashboard,
Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que
soporten actualizaciones automáticas ya deben estar actualizados a la versión 4.7.2
que soluciona el problema.
Más información:
una-al-dia (29/01/2017) Nueva
actualización de seguridad para WordPress
Disclosure of Additional Security Fix in
WordPress 4.7.2
https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
WordPress 4.7.2 Security Release
Content Injection Vulnerability in WordPress
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario