WordPress publicó una actualización de seguridad para corregir diversas vulnerabilidades encontradas en versiones anteriores a la 6.0.3. Además, se han actualizado todas las versiones desde WordPress 3.7.
Vulnerabilidad de secuencia de comandos entre sitios (XSS).
El gobierno de los Estados Unidos se encuentra en una situación de vulnerabilidad nacional debido a las múltiples advertencias publicadas por la Base de datos sobre las vulnerabilidades que afectan a WordPress.
Existen diversas vulnerabilidades que impactan a WordPress, incluyendo una categoría denominada script Cross Site, comúnmente referida como XSS.
Una vulnerabilidad de scripting de sitio cruzado generalmente ocurre cuando una aplicación web, como WordPress, no realiza una verificación adecuada (sanitización) de lo que se ingresa en un formulario o se carga a través de una entrada de carga.
Un agresor podría enviar un código maligno a un usuario que accede al sitio web, el cual luego activa el código maligno y permite al agresor obtener información confidencial o cookies con credenciales de usuario.
Otra debilidad encontrada se conoce como un XSS almacenado, que suele ser considerado más grave que un ataque XSS convencional.
En un ataque XSS almacenado, el código malicioso es guardado en el sitio web y se activa al ser visitado por un usuario o usuario conectado.
Una tercera categoría de vulnerabilidad que se identifica se conoce como un ataque de solicitud falsificada entre sitios (CSRF).
El sitio web sin ánimo de lucro Open Web Application Security Project (OWASP) define este tipo de vulnerabilidad.
CSRF es un tipo de ataque que induce a un usuario a llevar a cabo acciones no deseadas en una aplicación web mientras están autenticados en ella.
Con la asistencia de la ingeniería social, un atacante puede manipular a los usuarios de una página web para llevar a cabo acciones que el atacante haya decidido, utilizando métodos como enviar un enlace por correo electrónico o chat.
Si la persona afectada es un usuario común, un ataque CSRF efectivo podría forzar al usuario a realizar acciones no deseadas como transferir dinero, modificar su dirección de correo electrónico, entre otras.
Si la cuenta afectada es una cuenta de administrador, el ataque de falsificación de solicitud en sitios cruzados (CSRF) puede poner en riesgo toda la funcionalidad de la aplicación web.
Estos son los puntos débiles encontrados.
- Almacenamiento de scripts entre sitios a través de wp-mail.php (publicación por correo electrónico).
- Vulnerabilidad de redirección abierta en `wp_nonce_ays`.
- La dirección de email de Sender se encuentra visible en wp-mail.php.
- Biblioteca de medios – Vulnerabilidad de XSS reflejado a través de inyección SQL.
- Falsificación de petición en sitios cruzados (CSRF) en wp-trackback.php.
- Almacenamiento de código XSS mediante el uso del personalizador.
- Cambiar las instancias de usuario compartidas implementadas en la versión 50790.
- Almacenamiento de scripts maliciosos en el núcleo de WordPress a través de la modificación de comentarios.
- Presentación de información mediante los conceptos y recursos finales de REST.
- Información filtrada de mensajes de correo electrónico con múltiples partes.
- SQL Injection causada por una sanitización inadecuada en `WP_Date_Query`.
- Widget de RSS: explotación de XSS persistente
- Almacenamiento de vulnerabilidad XSS en el campo de búsqueda.
- Imagen de bloque con atributos: Edición de vulnerabilidad XSS.
- Texto parafraseado: Vulnerabilidad RSS: inyección de secuencias de comandos (XSS) guardadas.
- Widget de bloqueo para prevenir ataques de XSS.
Sugerencias de acciones a tomar.
WordPress aconsejó a todos los usuarios que actualicen sus sitios web de forma inmediata.
La declaración pública hecha por WordPress oficialmente mencionó:
Este nuevo lanzamiento incluye diversas mejoras en materia de seguridad. Se sugiere actualizar sus sitios de forma inmediata, dado que se trata de una versión enfocada en la seguridad.
“Se han realizado actualizaciones en todas las versiones de WordPress a partir de la 3.7.”
Por favor, revisa el comunicado oficial de WordPress en este enlace.
Lanzamiento de seguridad de WordPress versión 6.0.3.
Por favor, revisa la inscripción de bases de datos relacionadas con la vulnerabilidad a nivel nacional.
CVE-2022-43504 es un identificador utilizado para referirse a una vulnerabilidad específica en un sistema o software.
CVE-2022-43500 es un identificador único asignado a una vulnerabilidad específica en un software o sistema.
Vulnerabilidad de seguridad identificada como CVE-2022-43497.
Imagen principal proporcionada por Shutterstock, créditos a Asier Romero.
