El complement de seguretat de WordPress va descobrir que tenia dues vulnerabilitats que podrien permetre una càrrega maliciosa, scripts entre llocs i permetre la visualització del contingut de fitxers arbitraris.
Connector de WordPress de seguretat tot-en-un (AIOS).
El connector de WordPress All-In-One Security (AIOS), proporcionat pels editors d’UpdraftPlus, ofereix seguretat i funcionalitats de tallafoc dissenyades per bloquejar els pirates informàtics.
Ofereix una protecció de seguretat d’inici de sessió que bloqueja els atacants, protecció contra plagi, bloqueja l’enllaç directe, bloqueig de comentaris brossa i un tallafoc que serveix de defensa contra les amenaces de pirateria.
El connector també imposa la seguretat proactiva alertant els usuaris d’errors comuns com l’ús del nom d’usuari “administrador”.
És una suite de seguretat completa que compta amb el suport dels creadors d’Updraft Plus, un dels editors de complements de WordPress més fiables.
Aquestes qualitats fan que AIOS sigui molt popular, amb més d’un milió d’instal·lacions de WordPress.
Dues vulnerabilitats
La National Vulnerability Database (NVD) del govern dels Estats Units va publicar un parell d’advertiments sobre dues vulnerabilitats.
1. Error de desinfecció de dades
La primera vulnerabilitat es deu a un error de desinfecció de dades, concretament a una fallada per escapar dels fitxers de registre.
L’escapament de dades és un procés de seguretat bàsic que elimina qualsevol dada sensible de les sortides generades per un connector.
WordPress fins i tot té una pàgina de desenvolupadors dedicada al tema, amb exemples de com fer-ho i quan fer-ho.
WordPress’ s’explica la pàgina del desenvolupador sobre les sortides d’escapament:
“Escapar de la sortida és el procés d’assegurar les dades de sortida eliminant les dades no desitjades, com ara etiquetes HTML o script mal formats.
Aquest procés ajuda a protegir les vostres dades abans de representar-les per a l’usuari final”.
El NVD descriu aquesta vulnerabilitat:
“El connector de WordPress All-In-One Security (AIOS) anterior a la 5.1.5 no escapa del contingut dels fitxers de registre abans d’enviar-lo a la pàgina d’administració del connector, permetent a un usuari autoritzat (administrador +) plantar fitxers de registre falsos que contenen codi JavaScript maliciós. que s’executarà en el context de qualsevol administrador que visiti aquesta pàgina”.
2. Vulnerabilitat de travessia de directoris
La segona vulnerabilitat sembla ser una vulnerabilitat de Path Traversal.
Aquesta vulnerabilitat permet a un atacant explotar una fallada de seguretat per accedir a fitxers que normalment no serien accessibles.
El sense ànim de lucre Obre el projecte mundial de seguretat d’aplicacions (OWASP) adverteix que un atac reeixit podria comprometre els fitxers crítics del sistema.
“Un atac de travessa de camins (també conegut com a travessa de directoris) té com a objectiu accedir a fitxers i directoris que s’emmagatzemen fora de la carpeta arrel web.
Mitjançant la manipulació de variables que fan referència a fitxers amb seqüències “punt-punt-barra inclinada (../)” i les seves variacions o utilitzant camins de fitxer absoluts, és possible que sigui possible accedir a fitxers i directoris arbitraris emmagatzemats al sistema de fitxers, inclòs el codi font o la configuració de l’aplicació. i fitxers crítics del sistema”.
El NVD descriu aquesta vulnerabilitat:
“El complement de WordPress All-In-One Security (AIOS) anterior a la 5.1.5 no limita els fitxers de registre que es mostraran a les seves pàgines de configuració, permetent a un usuari autoritzat (administrador +) veure el contingut dels fitxers arbitraris i llistar directoris a qualsevol lloc del servidor (al qual té accés el servidor web).
El connector només mostra les últimes 50 línies del fitxer.
Ambdues vulnerabilitats requereixen que un atacant adquireixi credencials de nivell d’administrador per explotar l’atac, cosa que pot dificultar que es produeixi.
Tanmateix, s’espera que un connector de seguretat no tingui aquest tipus de vulnerabilitats evitables.
Penseu en actualitzar el connector de WordPress AIOS
AIOS va llançar un pedaç a la versió 5.1.6 del connector. És possible que els usuaris vulguin considerar l’actualització a almenys la versió 5.1.6, i possiblement a l’última versió, 5.1.7, que soluciona un error que es produeix quan el tallafoc no està configurat.
Llegiu els dos butlletins de seguretat de NVD
CVE-2023-0156 Limitació incorrecta d’un nom de ruta a un directori restringit (‘Path Traversal’)
Imatge destacada de Shutterstock/Kues
