El gobierno de los Estados Unidos a través de la Base de Datos Nacional de Vulnerabilidades (NVD) publicó una advertencia sobre el plugin de WordPress Shortcodes Ultimate, informando que se encontró una vulnerabilidad de Cross Site Request Forgery en él.
Ultimate Shortcodes es un complemento muy conocido en WordPress que cuenta con una amplia base de usuarios, superando las 700.000 instalaciones activas.
La vulnerabilidad impacta a las versiones de plugin anteriores a la versión actual 5.12.2.
Vulnerabilidad de falsificación de solicitudes entre sitios.
El CSRF, abreviatura de Cross-Site Request Forgery, es una vulnerabilidad que, en situaciones extremas, puede resultar en la toma total del sitio web.
Estas vulnerabilidades suelen surgir al identificar un error en el software que puede provocar una acción, generando resultados no previstos.
Un ataque efectivo suele requerir que un usuario, como por ejemplo alguien con permisos de administrador, haga clic en un enlace y comparta sin querer información, como una cookie de sesión, que pueda ser utilizada para hacerse pasar por esa persona.
Esta vulnerabilidad específica se basa en la ingeniería social, la cual implica persuadir al usuario final para que realice una acción que luego es aprovechada por la vulnerabilidad del complemento.
De acuerdo al Proyecto de Seguridad de Aplicaciones Web de Código Abierto (OWASP):
CSRF es una forma de ataque en la que se engaña a la víctima para que realice una solicitud maliciosa sin darse cuenta.
Adquiere la identidad y beneficios de la persona afectada para llevar a cabo una tarea no querida en representación de dicha persona…
En la mayoría de los sitios web, las solicitudes del navegador suelen incluir de manera automática las credenciales relacionadas con el sitio, como la cookie de sesión del usuario, la dirección IP, las credenciales de dominio de Windows, entre otros.
En consecuencia, si el usuario ya ha iniciado sesión en el sitio, el sitio no podrá diferenciar entre una solicitud falsa enviada por un atacante y una solicitud válida enviada por el usuario.
Información recopilada a nivel nacional sobre vulnerabilidades (NVD).
La base de datos solo reveló cierta información sobre la vulnerabilidad nacional y actualmente no se ha producido un fallo total en dicha vulnerabilidad.
El aviso del NVD publicó lo siguiente:
Vulnerabilidad CSRF en el complemento Shortcodes Ultimate versión 5.12.0 en WordPress que permite la modificación de la configuración preestablecida del complemento.
El registro de cambios oficial de Shortcodes Ultimate en GitHub fue igualmente ambiguo al describir la actualización para corregir la vulnerabilidad.
Sección 5.12.1
**Seguridad de libertad**
Este parche soluciona una falla de seguridad en el generador de códigos cortos. Agradecemos a Dave John por identificarla.
Mientras tanto, se explica el cambio en el repositorio del plugin de WordPress.
“Problemas previamente registrados con los ajustes preestablecidos del Generador de código corto, que se detectaron en la actualización anterior.”
El cambio anterior parece ensuciar la reputación del investigador de seguridad, cuyo nombre es Dave Jong, CTO de Patchstack, quien es reconocido por haber descubierto y reportado la vulnerabilidad.
Recomendación de la acción a seguir.
Las personas que actualmente usan el complemento de Shortcodes en WordPress deben pensar en actualizar a la última versión disponible, que actualmente es la 5.12.2.
Citas bibliográficas
Revisa el aviso de la Base de Datos Nacional de Vulnerabilidades.
Descripción de la vulnerabilidad CVE-2022-38086.
Por favor, eche un vistazo al anuncio de Patchstack.
Texto parafraseado: Vulnerabilidad de Incremento final: 0 = 5.12.0 en códigos cortos de WordPress por Inter-Site Request Forgery (CSRF).
Imagen principal proporcionada por Shutterstock, cortesía de Cookie Studio.
