La National Vulnerability Database (NVD) del govern dels Estats Units va publicar un avís sobre el complement Shortcodes Ultimate de WordPress, advertint que es va descobrir que contenia una vulnerabilitat de falsificació de sol·licituds de llocs creuats.
Shortcodes Ultimate és un connector de WordPress molt popular que té més de 700.000 instal·lacions actives.
La vulnerabilitat afecta les versions del connector que són anteriors a la versió actual 5.12.2.
Vulnerabilitat de falsificació de sol·licituds entre llocs
La falsificació de sol·licituds entre llocs, comunament anomenada CSRF, és un tipus de vulnerabilitat que, en el pitjor dels casos, pot portar a la presa de possessió del lloc web.
Aquest tipus de vulnerabilitats generalment es deuen a l’orientació a una fallada del programari que pot provocar un canvi, que pot comportar conseqüències no desitjades.
Un atac reeixit generalment depèn d’un usuari, per exemple amb privilegis d’administrador, fent clic en un enllaç i revelant involuntàriament informació com una galeta de sessió que es pot utilitzar per suplantar la identitat d’aquesta persona.
Aquest tipus de vulnerabilitat depèn de l’enginyeria social, que està manipulant un usuari final per completar una acció que després aprofita la vulnerabilitat del connector.
D’acord amb la Obriu el projecte de seguretat d’aplicacions web (OWASP):
“CSRF és un atac que enganya la víctima perquè enviï una sol·licitud maliciosa.
Hereta la identitat i els privilegis de la víctima per realitzar una funció no desitjada en nom de la víctima…
Per a la majoria de llocs, les sol·licituds del navegador inclouen automàticament qualsevol credencial associada al lloc, com ara la galeta de sessió de l’usuari, l’adreça IP, les credencials del domini de Windows, etc.
Per tant, si l’usuari està actualment autenticat al lloc, el lloc no tindrà cap manera de distingir entre la sol·licitud falsificada enviada per la víctima i una sol·licitud legítima enviada per la víctima”.
Base de dades nacional de vulnerabilitats (NVD)
La National Vulnerability Database va publicar només alguns detalls sobre la vulnerabilitat. Actualment no hi ha un desglossament complet de la pròpia vulnerabilitat.
L’avís de NVD va publicar el següent:
“Vulnerabilitat de falsificació de sol·licituds entre llocs (CSRF) al connector Shortcodes Ultimate <= 5.12.0 a WordPress que comporta un canvi de configuració predeterminada del connector".
L’oficial Shortcodes Ultimate GitHub Registre de canvis era igualment vaga, descrivint l’actualització per solucionar la vulnerabilitat:
“### 5.12.1
**Alliberament de seguretat**
Aquesta actualització corregeix una vulnerabilitat de seguretat al generador de codi curt. Gràcies a Dave John per descobrir-ho”.
Mentrestant, el dipòsit de complements de WordPress explica el registre de canviss:
“S’ha solucionat el problema amb els presets del generador de codi curt, introduït a l’actualització anterior”
Sembla que el registre de canvis anterior ha escrit malament el nom de l’investigador de seguretat, que està escrit correctament Dave Jong, CTO de Patchstackla persona a qui se li atribueix el descobriment i la notificació de la vulnerabilitat.
Curs d’acció recomanat
Els editors de WordPress que utilitzen actualment el connector de codis curts haurien de considerar actualitzar-los a la versió més recent, que en el moment d’escriure és la versió 5.12.2.
Citacions
Llegiu l’Avís nacional de la base de dades de vulnerabilitats
Llegeix l’anunci de Patchstack
Imatge destacada de Shutterstock/Cookie Studio
