Contenidos
Las vulnerabilidades del complemento de WordPress All-In-One Security (AIOS) afectan hasta +1 millón de sitios de WordPress
Se descubrió que el complemento de seguridad de WordPress tiene dos vulnerabilidades que podrían permitir una carga maliciosa, secuencias de comandos entre sitios y permitir la visualización de contenidos de archivos arbitrarios.
Complemento de WordPress de seguridad todo en uno (AIOS)
El complemento de WordPress All-In-One Security (AIOS), proporcionado por los editores de UpdraftPlus, ofrece funciones de seguridad y firewall diseñadas para bloquear a los piratas informáticos.
Ofrece protección de seguridad de inicio de sesión que bloquea a los atacantes, protección contra plagio, bloqueo de enlaces directos, bloqueo de comentarios no deseados y un firewall que sirve como defensa contra amenazas de piratería.
El complemento también aplica seguridad proactiva al alertar a los usuarios sobre errores comunes, como usar el nombre de usuario «admin».
Es un paquete de seguridad integral respaldado por los creadores de Updraft Plus, uno de los editores de complementos de WordPress más confiables.
Estas cualidades hacen que AIOS sea muy popular, con más de un millón de instalaciones de WordPress.
Dos vulnerabilidades
La base de datos nacional de vulnerabilidades (NVD) del gobierno de los Estados Unidos publicó un par de advertencias sobre dos vulnerabilidades.
1. Fallo en el saneamiento de datos
La primera vulnerabilidad se debe a una falla en el saneamiento de datos, específicamente una falla al escapar de los archivos de registro.
El escape de datos es un proceso de seguridad básico que elimina los datos confidenciales de los resultados generados por un complemento.
WordPress incluso tiene una página para desarrolladores dedicada al tema, con ejemplos de cómo hacerlo y cuándo hacerlo.
La página del desarrollador de WordPress sobre salidas de escape explica: developer page on escaping outputs explains
“Escaping output is the process of securing output data by stripping out unwanted data, like malformed HTML or script tags.
This process helps secure your data prior to rendering it for the end user.”
The NVD describes this vulnerability:
“The All-In-One Security (AIOS) WordPress plugin before 5.1.5 does not escape the content of log files before outputting it to the plugin admin page, allowing an authorized user (admin+) to plant bogus log files containing malicious JavaScript code that will be executed in the context of any administrator visiting this page.”
“Escapar de la salida es el proceso de proteger los datos de salida eliminando los datos no deseados, como etiquetas de secuencias de comandos o HTML con formato incorrecto.
Este proceso ayuda a proteger sus datos antes de entregarlos al usuario final”.
El NVD describe esta vulnerabilidad:
“El complemento de WordPress All-In-One Security (AIOS) anterior a 5.1.5 no escapa al contenido de los archivos de registro antes de enviarlo a la página de administración del complemento, lo que permite a un usuario autorizado (admin+) plantar archivos de registro falsos que contienen código JavaScript malicioso.
2 Vulnerabilidad de cruce de directorio
La segunda vulnerabilidad parece ser una vulnerabilidad de Path Traversal.
Esta vulnerabilidad permite que un atacante aproveche una falla de seguridad para acceder a archivos que normalmente no serían accesibles.
La organización sin fines de lucro Open Worldwide Application Security Project (OWASP) advierte que un ataque exitoso podría comprometer archivos críticos del sistema. Open Worldwide Application Security Project (OWASP) warns
“A path traversal attack (also known as directory traversal) aims to access files and directories that are stored outside the web root folder.
By manipulating variables that reference files with ‘dot-dot-slash (../)’ sequences and its variations or by using absolute file paths, it may be possible to access arbitrary files and directories stored on file system including application source code or configuration and critical system files.”
“Un ataque de cruce de ruta (también conocido como cruce de directorio) tiene como objetivo acceder a archivos y directorios que están almacenados fuera de la carpeta raíz web.
Mediante la manipulación de variables que hacen referencia a archivos con secuencias ‘punto-punto-barra (../)’ y sus variaciones o mediante el uso de rutas de archivo absolutas, es posible acceder a archivos y directorios arbitrarios almacenados en el sistema de archivos, incluido el código fuente o la configuración de la aplicación.
El NVD describe esta vulnerabilidad:
“The All-In-One Security (AIOS) WordPress plugin before 5.1.5 does not limit what log files to display in it’s settings pages, allowing an authorized user (admin+) to view the contents of arbitrary files and list directories anywhere on the server (to which the web server has access).
The plugin only displays the last 50 lines of the file.”
“El complemento de WordPress All-In-One Security (AIOS) anterior a 5.1.5 no limita qué archivos de registro mostrar en sus páginas de configuración, lo que permite a un usuario autorizado (admin+) ver el contenido de archivos arbitrarios y listar directorios en cualquier lugar del
El complemento solo muestra las últimas 50 líneas del archivo”.
Ambas vulnerabilidades requieren que un atacante adquiera credenciales de nivel de administrador para explotar el ataque, lo que podría dificultar que ocurra el ataque.
Sin embargo, uno espera que un complemento de seguridad no tenga este tipo de vulnerabilidades prevenibles.
Considere actualizar el complemento AIOS WordPress
AIOS lanzó un parche en la versión 5.1.6 del complemento Es posible que los usuarios deseen considerar actualizar al menos a la versión 5.1.6, y posiblemente a la última versión, 5.1.7, que soluciona un bloqueo que ocurre cuando el firewall no está configurado.
Lea los dos boletines de seguridad de NVD
CVE-2023-0157 Neutralización incorrecta de la entrada durante la generación de la página web («Cross-site Scripting») CVE-2023-0157 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
CVE-2023-0156 Limitación incorrecta de un nombre de ruta a un directorio restringido («Path Traversal») CVE-2023-0156 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
Imagen destacada de Shutterstock/Kues
Leer el articulo original en Search Engine Journal.