Si, por algún motivo, su sitio web basado en WordPress aún no se ha actualizado automáticamente a la última versión 5.1.1, se recomienda actualizarlo inmediatamente antes de que los piratas informáticos puedan aprovechar una vulnerabilidad recientemente descubierta para piratear su sitio web.
Simon Scannell, investigador de RIPS Technologies GmbH, que informó anteriormente múltiples vulnerabilidades críticas en WordPress, descubrió una vez más una nueva falla en el software de administración de contenido (CMS) que podría provocar ataques de ejecución remota de código.
La falla se deriva de un problema de falsificación de solicitud entre sitios (CSRF) en la sección de comentarios de Wordpress, uno de sus componentes principales que viene habilitado de forma predeterminada y afecta a todas las instalaciones de WordPress anteriores a la versión 5.1.1.
A diferencia de la mayoría de los ataques anteriores documentados contra WordPress, este nuevo exploit permite que incluso un "atacante remoto no autenticado" comprometa y obtenga ejecución remota de código en los sitios web vulnerables de WordPress.
"Teniendo en cuenta que los comentarios son una característica principal de los blogs y están habilitados de forma predeterminada, la vulnerabilidad afectó a millones de sitios", dice Scannell.
El exploit demostrado por Scannell se basa en múltiples problemas, que incluyen:
- WordPress no usa la validación CSRF cuando un usuario publica un nuevo comentario, lo que permite a los atacantes publicar comentarios en nombre de un administrador.
- Los comentarios publicados por una cuenta de administrador no son verificados y pueden incluir etiquetas HTML arbitrarias, incluso etiquetas SCRIPT.
- La interfaz de WordPress no está protegida por el encabezado X-Frame-Options, lo que permite a los atacantes abrir el sitio de WordPress en un iFrame oculto desde un sitio web controlado por un atacante.
Al combinar todos estos problemas, un atacante puede inyectar silenciosamente una carga XSS almacenada en el sitio web de destino simplemente engañando a un administrador que haya iniciado sesión para que visite un sitio web malicioso que contenga el código de vulnerabilidad.
Según el investigador, el atacante puede incluso tomar el control total de los sitios web de WordPress de forma remota mediante la inyección de una carga útil XSS que puede modificar la plantilla de WordPress directamente para incluir un backdoor en PHP malicioso, todo en un solo paso sin que el administrador se dé cuenta.
Después de que Scannell informara sobre esta vulnerabilidad en octubre del año pasado, el equipo de WordPress intentó mitigar el problema introduciendo un punto adicional para administradores en el formulario de comentarios, en lugar de simplemente habilitar la protección CSRF.
Sin embargo, Scannell también pudo evitar eso, luego de lo cual el equipo de CMS finalmente lanzó WordPress 5.1.1 con un parche estable el miércoles.
Como WordPress instala automáticamente las actualizaciones de seguridad de forma predeterminada, ya debería estar ejecutando la última versión del software de administración de contenido.
Sin embargo, si la actualización automática de su CMS se ha desactivado, se recomienda que desactive temporalmente los comentarios y cierre la sesión de su administrador hasta que se instale el parche de seguridad.
Fuente: https://thehackernews.com/2019/03/hack-wordpress-websites.html
