Vulnerabilidades de ejecución remota de código afectarían a miles de sitios WordPress

 In Blog

El equipo de Ciberseguridad de Netglobalis informa que Investigadores de Wordfence informaron de tres vulnerabilidades de ejecución remota de código que se identificaron en el complemento PHP Everywhere, que afectaría a miles de sitios web de WordPress.

Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.

Por tanto, se recomienda a los usuarios y administradores a revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:

Descripción:

Complemento PHP Everywhere 

Una serie de tres fallas de seguridad en el complemento PHP Everywhere podría permitir a los atacantes ejecutar código malicioso en sitios web que usan el sistema de administración de contenido de WordPress.

El complemento se utiliza para insertar elementos de PHP en páginas, publicaciones, menús y cualquier otro bloque editable utilizado por WordPress para mostrar contenido dinámico.

Afectaciones:

VULNERABILIDADES CRÍTICAS (puntaje CVSS de 9.9)

  • CVE-2022-24663Una vulnerabilidad que permite a cualquier usuario autenticado, incluidos suscriptores y clientes, «ejecutar códigos abreviados a través de la acción AJAX parse-media-shortcode «, explica Wordfence.
    • Un atacante que busca explotar el error necesitaría enviar una solicitud diseñada con un parámetro de código abreviado específico para ejecutar código PHP arbitrario en el sitio, lo que normalmente conduciría a la toma completa del sitio.
  • CVE-2022-24664Falla que permitía a todos los usuarios con la capacidad edit_posts , incluidos los colaboradores que no son de confianza, podían usar el metabox de PHP Everywhere. Por lo tanto, podrían crear una publicación que contenga código PHP en el metabox de PHP Everywhere y lograr la ejecución del código al obtener una vista previa de la publicación.
  • CVE-2022-24665 Permitía de manera predeterminada, que todos los usuarios con la capacidad edit_posts podían usar el bloque PHP Everywhere Gutenberg (esto podría configurarse solo como administrador). Por lo tanto, los usuarios de nivel colaborador podrían crear una publicación, agregar el bloque PHP en todas partes con código y obtener una vista previa de la publicación para lograr la ejecución del código.

CVE-2022-24664 y CVE-2022-24665, requieren que el atacante tenga al menos permisos de nivel de colaborador en el sitio vulnerable, lo que significa que el impacto es menos severo.

Mitigación y recomendaciones:

Las vulnerabilidades fueron descubiertas a principios de enero por Wordfence, que se especializa en asegurar sitios de WordPress, y requirió reprogramar el complemento. Prueba de ello es que el software pasó de la versión 2.0.3 directamente a la 3.00, la cual ya está disponible y debe ser instalada lo antes posible por los administradores de la página.

Esta recomendación, por cierto, se aplica a todos los complementos, así como al propio WordPress, que siempre debe estar ejecutando sus últimas versiones. Hacer un seguimiento de los usuarios registrados y los cambios indebidos también ayuda a indicar posibles compromisos, especialmente comunes en las extensiones del administrador del sitio.

Para obtener la última versión del plugin de PHP Everywhere, dirigirse al sitio oficial de wordpress.

Mitigación

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Recent Posts