WordPress aborda una vulnerabilidad de gravedad crítica e insta a los usuarios a actualizar de inmediato. La versión 6.4.2 contiene un parche para la vulnerabilidad de gravedad crítica que podría permitir a los atacantes ejecutar código PHP en el sitio y potencialmente conducir a una toma total del sitio.
En la versión 6.4.2 de WordPress, se ha lanzado un parche crítico para abordar una vulnerabilidad de seguridad que, si se explota junto con otro error, podría permitir a actores de amenazas ejecutar código PHP arbitrario en sitios vulnerables. Aunque la vulnerabilidad no puede ser explotada directamente en el núcleo, el equipo de seguridad de WordPress ha identificado un riesgo potencialmente grave cuando se combina con ciertos complementos, especialmente en instalaciones multisitio.
La falla de seguridad tiene su origen en la clase WP_HTML_Token, introducida en la versión 6.4 para mejorar el análisis de HTML en el editor de bloques. Según Wordfence, una empresa de seguridad de WordPress, el problema podría ser aprovechado por un actor de amenazas que tenga la capacidad de explotar una vulnerabilidad de inyección de objetos PHP en otros complementos o temas. Al encadenar estos dos problemas, el atacante podría ejecutar código arbitrario y tomar el control del sitio objetivo.
Wordfence advierte que si hay una cadena de programación orientada a propiedades (POP) presente a través de un complemento o tema adicional instalado en el sistema de destino, el atacante podría eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código. Esta información ya había sido señalada por Wordfence en septiembre de 2023.
Patchstack, otra compañía de seguridad, informó que una cadena de explotación estaba disponible en GitHub desde el 17 de noviembre y se había agregado al proyecto PHP Generic Gadget Chains (PHPGGC). Se recomienda a los usuarios que revisen manualmente sus sitios para asegurarse de que estén actualizados a la última versión.
En un aviso similar, Patchstack sugiere a los desarrolladores que, si alguno de sus proyectos contiene llamadas a la función unserialize, consideren cambiarlo por otra solución, como la codificación/decodificación JSON utilizando las funciones PHP json_encode y json_decode, según Dave Jong, CTO de Patchstack.
La vulnerabilidad se remonta a una característica introducida en WordPress 6.4 que estaba destinada a mejorar el análisis de HTML en el editor de bloques.
El problema no está presente en versiones anteriores de WordPress y sólo afecta a las versiones 6.4 y 6.4.1.
Un anuncio oficial de WordPress describe la vulnerabilidad:
“Una vulnerabilidad de ejecución remota de código que no se puede explotar directamente en el núcleo; sin embargo, el equipo de seguridad considera que existe un potencial de alta gravedad cuando se combina con algunos complementos, especialmente en instalaciones multisitio”.
Según un aviso publicado por Wordfence:
“Dado que un atacante capaz de explotar una vulnerabilidad de inyección de objetos tendría control total sobre las propiedades on_destroy y bookmark_name, puede usar esto para ejecutar código arbitrario en el sitio y obtener fácilmente el control total.
Si bien WordPress Core actualmente no tiene vulnerabilidades conocidas de inyección de objetos, están muy extendidas en otros complementos y temas. La presencia de una cadena POP fácil de explotar en el núcleo de WordPress aumenta sustancialmente el nivel de peligro de cualquier vulnerabilidad de inyección de objetos”.
Vulnerabilidad de inyección de objetos
Wordfence advierte que las vulnerabilidades de inyección de objetos no son fáciles de explotar. No obstante, recomiendan que los usuarios de WordPress actualicen las últimas versiones.
El propio WordPress aconseja que los usuarios actualicen sus sitios inmediatamente.
Lea el anuncio oficial de WordPress:
Versión de mantenimiento y seguridad de WordPress 6.4.2
Lea el aviso de Wordfence:
https://www.wordfence.com/blog/2023/12/psa-critical-pop-chain-allowing-remote-code-execution-patched-in-wordpress-6-4-2/
Recomendaciones
Ante la vulnerabilidad descrita en la versión 6.4.2 de WordPress, se recomiendan las siguientes acciones:
- Actualizar a la última versión: Asegúrate de que tu instalación de WordPress esté actualizada a la versión 6.4.2. Es crucial mantener el software actualizado para recibir parches de seguridad y proteger tu sitio contra posibles amenazas.
- Revisar complementos y temas: Verifica si los complementos y temas que estás utilizando están actualizados y son compatibles con la versión más reciente de WordPress. Algunos problemas de seguridad pueden provenir de complementos o temas desactualizados.
- Revisar la presencia de cadenas POP: Si eres propietario de un sitio web, especialmente en un entorno multisitio, revisa si hay cadenas de programación orientada a propiedades (POP) presentes en los complementos o temas instalados. Esto puede hacerse mediante una auditoría manual o utilizando herramientas de seguridad.
- Considerar cambiar funciones unserialize: Si eres un desarrollador y alguno de tus proyectos utiliza la función unserialize, considera cambiarla por alternativas más seguras, como la codificación/decodificación JSON utilizando las funciones PHP
json_encode
yjson_decode
. - Monitoreo de seguridad: Implementa un sistema de monitoreo de seguridad para tu sitio web. Utiliza herramientas como Wordfence u otros plugins de seguridad que puedan alertarte sobre posibles amenazas y actividades sospechosas.
- Respaldos regulares: Asegúrate de realizar respaldos regulares de tu sitio web. En caso de un ataque exitoso, contar con copias de seguridad te permitirá restaurar tu sitio a un estado anterior y minimizar la pérdida de datos.
- Conciencia de los usuarios: Educa a los usuarios que administran el sitio sobre buenas prácticas de seguridad, como el uso de contraseñas fuertes y la autenticación de dos factores.
Recuerda que la seguridad en línea es un esfuerzo continuo. Mantente informado sobre las actualizaciones de seguridad y las mejores prácticas para garantizar la protección continua de tu sitio web.
fuente: thehackernews