El 12 de julio, el equipo de Wordfence (un plugin de seguridad popular para WordPress), descubrió una vulnerabilidad llamada RCE – Remote Code Execution en Ad Inserter. Esta vulnerabilidad puede permitir que un atacante ejecute cualquier código PHP arbitrario en el sitio que usa WordPress.
La vulnerabilidad se encontró en el módulo de previsualización de anuncios del plugin, donde se puede previsualizar la posición, el tamaño, etc. de los anuncios antes de publicarlos. Esta acción sólo puede ser ejecutada por los administradores de WordPress y para asegurar esto, el escritor del plugin usó la función WordPress ‘check_admin_referer()’ que asegura que la acción está siendo realizada por el administrador.
El equipo de inteligencia de amenazas de Wordfence que descubrió esta vulnerabilidad dijo que la función ‘check_admin_referer()’ no es suficiente protección. check_admin_referer() está diseñado para proteger contra CSRF (Cross-site request forgery) y la forma en que asegura que esto sea así comprobando si nonce (un token) existe en la solicitud.
En pocas palabras, check_admin_referer() comprueba que un tipo de OTP (contraseña de un solo uso) está en la petición, si encuentra la OTP, entonces asume que la acción está siendo ejecutada por el administrador. Pero esto sólo funciona cuando OTP se lo proporciona a la administración.
En una investigación posterior, el equipo de Wordfence descubrió que el plugin con algunas características de depuración específicas habilitadas incluía un bloque de Javascript en cada página del sitio web que contenía un nonce o token válido. Con este nonce, la característica de vista previa del plugin puede ser activada con un rol de usuario tan bajo como el de un suscriptor. Un atacante puede ejecutar cualquier código PHP arbitrario para obtener datos confidenciales del servidor como cookies, contraseñas, etc.
La vulnerabilidad descubierta en la versión 2.4.21 y siguientes del insertador de anuncios. Por lo tanto, si utilizas un insertador de anuncios, asegúrate de que esté actualizado. Si estás usando Wordfence Premium, ya está protegido (aún así, actualiza el plugin). Si eres un usuario común de Wordfence, recibirás el parche para esta vulnerabilidad después de 30 días, es decir, el 11 de agosto.
Puedes leer más sobre esta vulnerabilidad en el post de exposición de vulnerabilidades de Wordfence.
Fuente: maslinux
