Más de 100.000 sitios web de WordPress se ven afectados por una falla de alta gravedad en un complemento que ayuda a los sitios web a enviar correos electrónicos y boletines a los suscriptores.
La vulnerabilidad existe en el complemento Email Subscribers & Newsletters de Icegram, que permite a los usuarios recopilar clientes potenciales y enviar correos electrónicos automatizados de notificación de nuevas publicaciones de blog. Un atacante remoto no autenticado puede aprovechar la falla para enviar correos electrónicos falsificados a todos los destinatarios de las listas de contactos o suscriptores disponibles, con control total sobre el contenido y el asunto del correo electrónico.
Para corregir la falla, los usuarios deben "actualizar al plugin WordPress Email Subscribers & Newsletters por Icegram versión 4.5.6 o superior", según los investigadores de Tenable, que descubrieron la falla, en un aviso el jueves.
La falla ( CVE-2020-5780 ) se ubica en 7.5 de 10 en la escala CVSS, por lo que es de alta gravedad. Afecta a las versiones 4.5.5 y anteriores del complemento Boletines y suscriptores de correo electrónico de WordPress.
El problema se debe a una vulnerabilidad de falsificación / suplantación de correo electrónico en la clase class-es-newsletters.php.
"Los usuarios no autenticados pueden enviar una solicitud ajax al gancho admin_init", dijo a Threatpost Alex Peña, ingeniero de investigación de Tenable. "Esto activa una llamada a la función process_broadcast_submission".
Al manipular los parámetros de la solicitud, Peña dijo que un atacante podría programar una nueva transmisión para una lista completa de contactos, debido a la falta de un mecanismo de autenticación.
"Un usuario no autenticado no debería ser capaz de crear un mensaje de difusión", dijo a Threatpost.
En un escenario de ataque de la vida real, un atacante remoto no autenticado podría enviar primero una solicitud especialmente diseñada a un servidor de WordPress vulnerable. Luego, la solicitud programaría un nuevo boletín para enviarlo a una lista completa de contactos, donde el atacante puede establecer arbitrariamente la hora programada, la lista de contactos, el asunto y el contenido del correo electrónico que se transmite.
“Esto podría usarse para realizar un ataque de phishing o una estafa, similar al ataque experimentado recientemente por Twitter , donde se ataca a personas de la lista de correo de una organización en particular”, dijo Peña . "Como el correo electrónico proviene de una fuente confiable, es más probable que los destinatarios confíen en la comunicación y se convenzan por su contenido".
Los investigadores notificaron al complemento sobre el problema el 26 de agosto; se emitió un parche a principios de esta semana, el martes.