Contenidos
Más del 67% de todas las vulnerabilidades de WordPress reportadas fueron de nivel medio Estos son los hechos que necesitas saber.
La mayoría de las vulnerabilidades de WordPress, alrededor del 67% de ellas descubiertas en 2023, están clasificadas como de nivel medio. Debido a que son los más comunes, tiene sentido comprender qué son y cuándo representan una amenaza real a la seguridad. Estos son los datos sobre ese tipo de vulnerabilidades que usted debe saber sobre ellas.
¿Qué es una vulnerabilidad de nivel medio?
Un portavoz de WPScan, una empresa de escaneo de seguridad de WordPress propiedad de Automattic, explicó que utilizan el Sistema de puntuación de vulnerabilidad común (CVSS Scores) para calificar la gravedad de una amenaza. Las puntuaciones se basan en un sistema de numeración del 1 al 10 y calificaciones de bajo, medio, alto y crítico.
El portavoz de WPScan explicó:
“We don’t flag levels as the chance of happening, but the severity of the vulnerability based on FIRST’s CVSS framework. Speaking broadly, a medium-level severity score means either the vulnerability is hard to exploit (e.g., SQL Injection that requires a highly privileged account) or the attacker doesn’t gain much from a successful attack (e.g., an unauthenticated user can get the content of private blog posts).
We generally don’t see them being used as much in large-scale attacks because they are less useful than higher severity vulnerabilities and harder to automate. However, they could be useful in more targeted attacks, for example, when a privileged user account has already been compromised, or an attacker knows that some private content contains sensitive information that is useful to them.
We would always recommend upgrading vulnerable extensions as soon as possible. Still, if the severity is medium, then there is less urgency to do so, as the site is less likely to be the victim of a large-scale automated attack.
An untrained user may find the report a bit hard to digest. We did our best to make it as suitable as possible for all audiences, but I understand it’d be impossible to cover everyone without making it too boring or long. And the same can happen to the reported vulnerability. The user consuming the feed would need some basic knowledge of their website setup to consider which vulnerability needs immediate attention and which one can be handled by the WAF, for example.
If the user knows, for example, that their site doesn’t allow users to subscribe to it. All reports of subscriber+ vulnerabilities, independent of the severity level, can be reconsidered. Assuming that the user maintains a constant review of the site’s user base.
The same goes for contributor+ reports or even administrator levels. If the person maintains a small network of WordPress sites, the admin+ vulnerabilities are interesting for them since a compromised administrator of one of the sites can be used to attack the super admin.”
«No señalamos los niveles como la posibilidad de que ocurra, sino la gravedad de la vulnerabilidad según el marco CVSS de FIRST. En términos generales, una puntuación de gravedad de nivel medio significa que la vulnerabilidad es difícil de explotar (por ejemplo, una inyección SQL que requiere una cuenta con muchos privilegios) o que el atacante no gana mucho con un ataque exitoso (por ejemplo, un usuario no autenticado puede obtener la
Generalmente no vemos que se utilicen tanto en ataques a gran escala porque son menos útiles que las vulnerabilidades de mayor gravedad y más difíciles de automatizar. Sin embargo, podrían resultar útiles en ataques más dirigidos, por ejemplo, cuando una cuenta de usuario privilegiada ya se ha visto comprometida o un atacante sabe que algún contenido privado contiene información confidencial que le resulta útil.
Siempre recomendamos actualizar las extensiones vulnerables lo antes posible. Aún así, si la gravedad es media, entonces hay menos urgencia de hacerlo, ya que es menos probable que el sitio sea víctima de un ataque automatizado a gran escala.
Un usuario no capacitado puede encontrar el informe un poco difícil de digerir. Hicimos todo lo posible para que fuera lo más adecuado posible para todos los públicos, pero entiendo que sería imposible abarcar a todos sin que fuera demasiado aburrido o largo. Y lo mismo puede pasar con la vulnerabilidad reportada. El usuario que consuma el feed necesitaría algunos conocimientos básicos de la configuración de su sitio web para considerar qué vulnerabilidad necesita atención inmediata y cuál puede ser manejada por el WAF, por ejemplo.
Si el usuario sabe, por ejemplo, que su sitio no permite suscribirse Todos los informes de vulnerabilidades del suscriptor+, independientemente del nivel de gravedad, pueden reconsiderarse Suponiendo que el usuario mantiene una revisión constante de la base de usuarios del sitio.
Lo mismo ocurre con los informes de colaborador+ o incluso con los niveles de administrador. Si la persona mantiene una pequeña red de sitios de WordPress, las vulnerabilidades admin+ son interesantes para ella, ya que un administrador comprometido de uno de los sitios puede usarse para atacar al superadministrador”.
Vulnerabilidades a nivel de colaborador
Muchas vulnerabilidades de gravedad media requieren acceso a nivel de colaborador Un colaborador es un rol de acceso que le da a ese usuario registrado la capacidad de escribir y enviar contenido, aunque en general no tiene la capacidad de publicarlo.
La mayoría de los sitios web no tienen que preocuparse por las amenazas a la seguridad que requieren autenticación a nivel de colaborador porque la mayoría de los sitios no ofrecen ese nivel de acceso.
Chloe Chamberland, líder de inteligencia de amenazas en Wordfence, explicó que la mayoría de los propietarios de sitios no deberían preocuparse por las vulnerabilidades de gravedad media que requieren acceso a nivel de colaborador para poder explotarlas porque la mayoría de los sitios de WordPress no ofrecen ese nivel de permiso. También señaló que este tipo de vulnerabilidades son difíciles de escalar porque explotarlas es difícil de automatizar. Chloe Chamberland
Cloe explicó:
“For most site owners, vulnerabilities that require contributor-level access and above to exploit are something they do not need to worry about. This is because most sites do not allow contributor-level registration and most sites do not have contributors on their site.
In addition, most WordPress attacks are automated and are looking for easy to exploit high value returns so vulnerabilities like this are unlikely to be targeted by most WordPress threat actors.”
“Para la mayoría de los propietarios de sitios, las vulnerabilidades que requieren acceso de nivel de colaborador y superior para explotar son algo de lo que no deben preocuparse. Esto se debe a que la mayoría de los sitios no permiten el registro a nivel de colaborador y la mayoría de los sitios no tienen colaboradores en su sitio.
Además, la mayoría de los ataques de WordPress están automatizados y buscan retornos de alto valor fáciles de explotar, por lo que es poco probable que vulnerabilidades como esta sean el objetivo de la mayoría de los actores de amenazas de WordPress”.
Editores de sitios web que deberían preocuparse
Chloe también dijo que los editores que ofrecen permisos a nivel de colaborador pueden tener varias razones para preocuparse por este tipo de exploits:
“The concern with exploits that require contributor-level access to exploit arises when site owners allow contributor-level registration, have contributors with weak passwords, or the site has another plugin/theme installed with a vulnerability that allows contributor-level access in some way and the attacker really wants in on your website.
If an attacker can get their hands on one of these accounts, and a contributor-level vulnerability exists, then they may be provided with the opportunity to escalate their privileges and do real damage to the victim. Let’s take a contributor-level Cross-Site Scripting vulnerability for example.
Due to the nature of contributor-level access, an administrator would be highly likely to preview the post for review at which point any injected JavaScript would execute – this means the attacker would have a relatively high chance of success due to the admin previewing the post for publication.
As with any Cross-Site Scripting vulnerability, this can be leveraged to add a new administrative user account, inject backdoors, and essentially do anything a site administrator could do. If a serious attacker has access to a contributor-level account and no other trivial way to elevate their privileges, then they’d likely leverage that contributor-level Cross-Site Scripting to gain further access. As previously mentioned, you likely won’t see that level of sophistication targeting the vast majority of WordPress sites, so it’s really high value sites that need to be concerned with these issues.
In conclusion, while I don’t think a vast majority of site owners need to worry about contributor-level vulnerabilities, it’s still important to take them seriously if you allow user registration at that level on your site, you don’t enforce unique strong user passwords, and/or you have a high value WordPress website.”
“La preocupación con los exploits que requieren acceso a nivel de colaborador para explotar surge cuando los propietarios de sitios permiten el registro a nivel de colaborador, tienen contribuyentes con contraseñas débiles o el sitio tiene otro complemento/tema instalado con una vulnerabilidad que permite el acceso a nivel de colaborador de alguna manera.
Si un atacante puede obtener una de estas cuentas y existe una vulnerabilidad a nivel de contribuyente, entonces se le puede brindar la oportunidad de escalar sus privilegios y causar un daño real a la víctima. Tomemos, por ejemplo, una vulnerabilidad de secuencias de comandos entre sitios a nivel de colaborador.
Debido a la naturaleza del acceso a nivel de colaborador, es muy probable que un administrador obtenga una vista previa de la publicación para su revisión, momento en el que se ejecutará cualquier JavaScript inyectado; esto significa que el atacante tendría una probabilidad relativamente alta de éxito debido a que el administrador obtiene una vista previa de la publicación.
Al igual que con cualquier vulnerabilidad de secuencias de comandos entre sitios, esto se puede aprovechar para agregar una nueva cuenta de usuario administrativo, inyectar puertas traseras y, esencialmente, hacer cualquier cosa que un administrador del sitio pueda hacer. Si un atacante serio tiene acceso a una cuenta de nivel de colaborador y no tiene otra forma trivial de elevar sus privilegios, entonces probablemente aprovechará ese Cross-Site Scripting de nivel de colaborador para obtener más acceso. Como se mencionó anteriormente, probablemente no verá ese nivel de sofisticación en la gran mayoría de los sitios de WordPress, por lo que son los sitios de alto valor los que deben preocuparse por estos problemas.
En conclusión, si bien no creo que la gran mayoría de los propietarios de sitios deban preocuparse por las vulnerabilidades a nivel de contribuyente, sigue siendo importante tomarlas en serio. Si permite el registro de usuarios en ese nivel en su sitio, no exige una seguridad única.
Ver también:
Tenga en cuenta las vulnerabilidades
Si bien muchas de las vulnerabilidades de nivel medio pueden no ser algo de qué preocuparse, sigue siendo una buena idea mantenerse informado sobre ellas. Los escáneres de seguridad, como la versión gratuita de WPScan, pueden dar una advertencia cuando un complemento o tema se vuelve vulnerable Es una buena manera de contar con un sistema de advertencia para estar al tanto de las vulnerabilidades. free version of WPScan
Los complementos de seguridad de WordPress como Wordfence ofrecen una postura de seguridad proactiva que bloquea activamente los ataques de piratería automatizados y los usuarios avanzados pueden ajustarlos aún más para bloquear bots y agentes de usuario específicos. La versión gratuita de Wordfence ofrece una protección significativa en forma de firewall y escáner de malware. La versión paga ofrece protección para todas las vulnerabilidades tan pronto como se descubren y antes de que se parchee la vulnerabilidad. Utilizo Wordfence en todos mis sitios web y no puedo imaginarme creando un sitio web sin él. free version of Wordfence
La seguridad generalmente no se considera un problema de SEO, pero debe considerarse como tal porque no proteger un sitio puede deshacer todo el esfuerzo realizado para que un sitio tenga una buena clasificación.
Imagen destacada de Shutterstock/Juan villa torres
Leer el articulo original en Search Engine Journal.