La semana pasada recibimos un consejo sobre una vulnerabilidad sin parches en el núcleo de WordPress, que podría permitir a un usuario con pocos privilegios secuestrar todo el sitio y ejecutar código arbitrario en el servidor.

Descubierta por investigadores de RIPS Technologies GmbH, la vulnerabilidad de ” eliminación de archivos arbitrarios autenticados ” se informó hace 7 meses al equipo de seguridad de WordPress, pero no se reparó y afecta a todas las versiones de WordPress, incluida la versión 4.9.6 actual.

La vulnerabilidad reside en una de las funciones principales de WordPress que se ejecuta en segundo plano cuando un usuario elimina permanentemente la miniatura de una imagen cargada.

Los investigadores encuentran que la función de eliminación de miniaturas acepta entradas de usuario no optimizadas, que si son moderadas, podrían permitir a los usuarios con privilegios limitados de al menos un autor eliminar cualquier archivo del alojamiento web, que de otro modo solo debería permitirse al servidor o administradores del sitio.

El requisito de al menos una cuenta de autor reduce de forma automática la gravedad de este error hasta cierto punto, lo que podría ser explotado por un colaborador de contenido deshonesto o un pirata informático que de alguna manera obtiene la credencial del autor utilizando phishing, reutilización de contraseñas u otros ataques.

Los investigadores dicen que al usar esta falla, un atacante puede eliminar cualquier archivo crítico como “.htaccess” del servidor, que generalmente contiene configuraciones relacionadas con la seguridad, en un intento de desactivar la protección.

Además, borrar el archivo ” wp-config.php ” -uno de los archivos de configuración más importantes en la instalación de WordPress que contiene información de conexión de base de datos- podría obligar a todo el sitio web a volver a la pantalla de instalación, supuestamente permitiendo que el atacante reconfigure el sitio web desde el navegador y asumir su control por completo.

Sin embargo, debe tenerse en cuenta que dado que el atacante no puede leer directamente el contenido del archivo wp-config.php para conocer el “nombre de la base de datos”, “nombre de usuario mysql” y su “contraseña”, puede volver a configurar el sitio específico usando un servidor de base de datos remota bajo su control.

Una vez completado, el atacante puede crear una nueva cuenta de administrador y tomar el control completo del sitio web, incluida la capacidad de ejecutar código arbitrario en el servidor.

“Además de la posibilidad de borrar toda la instalación de WordPress, que puede tener consecuencias desastrosas si no hay una copia de seguridad disponible, un atacante puede usar la capacidad de eliminación arbitraria de archivos para eludir algunas medidas de seguridad y ejecutar código arbitrario en el servidor web, “dicen los investigadores.

En un video de prueba de concepto publicado por los investigadores, como se muestra arriba, la vulnerabilidad funcionó perfectamente según lo descrito y obligó al sitio a volver a instalar la pantalla.

https://www.youtube.com/watch?v=dqyrc7euSDA

Sin embargo, a partir de ahora, los administradores de sitios web no deben entrar en pánico debido a esta vulnerabilidad y pueden aplicar manualmente una revisión provista por los investigadores.

Esperamos que el equipo de seguridad de WordPress remienda esta vulnerabilidad en la próxima versión de su software CMS.