All In One SEO Plugin parcheó la vulnerabilidad de inyección SQL que podría exponer información privilegiada de la base de datos
Los investigadores de seguridad de Jetpack descubrieron dos vulnerabilidades graves en el complemento All In One SEO. Las vulnerabilidades podrían permitir que un hacker acceda a nombres de usuario y contraseñas y también realizar exploits de ejecución remota de código.
Las vulnerabilidades dependen unas de otras para tener éxito. El primero se denomina Ataque de escalada de privilegios, que permite a un usuario con un nivel bajo de privilegios de acceso al sitio web (como un suscriptor) aumentar su nivel de privilegios a uno con más privilegios de acceso (como un administrador del sitio web).
Los investigadores de seguridad de Jetpack describen la vulnerabilidad como grave y advierten de las siguientes consecuencias:
“If exploited, the SQL Injection vulnerability could grant attackers access to privileged information from the affected site’s database (e.g., usernames and hashed passwords).”
«Si se explota, la vulnerabilidad de inyección SQL podría otorgar a los atacantes acceso a información privilegiada de la base de datos del sitio afectado (por ejemplo, nombres de usuario y contraseñas cifradas)».
Escalada de privilegios autenticado
Uno de los exploits es una vulnerabilidad de Escalada de Privilegios Autenticados que explota la API REST de WordPress, lo que permite a un atacante acceder a nombres de usuario y contraseñas.
La API REST es una forma para que los desarrolladores de complementos interactúen con la instalación de WordPress de manera segura para habilitar funcionalidades que no comprometan la seguridad.
Esta vulnerabilidad explota los puntos finales de la API REST de WordPress (URL que representan publicaciones, etc.). Los ataques a la API REST son cada vez más un punto débil en la seguridad de WordPress.
Pero no es culpa de WordPress porque la API REST está diseñada teniendo en cuenta la seguridad.
La culpa, si hay que señalar con los dedos, recae enteramente en los complementos.
En el complemento All In One SEO, el problema estaba en los controles de seguridad que verifican si un usuario que accede a un punto final API tenía las credenciales de privilegio correctas.
Según Jetpack:
“The privilege checks applied by All In One SEO to secure REST API endpoints contained a very subtle bug that could’ve granted users with low-privileged accounts (like subscribers) access to every single endpoint the plugin registers.
…Since it didn’t account for the fact that WordPress treats REST API routes as case-insensitive strings, changing a single character to uppercase would completely bypass the privilege checks routine.”
“Las verificaciones de privilegios aplicadas por All In One SEO para proteger los puntos finales de la API REST contenían un error muy sutil que podría haber otorgado a los usuarios con cuentas con pocos privilegios (como suscriptores) acceso a cada punto final que registra el complemento.
…Dado que no tuvo en cuenta el hecho de que WordPress trata las rutas de la API REST como cadenas que no distinguen entre mayúsculas y minúsculas, cambiar un solo carácter a mayúsculas omitiría por completo la rutina de verificación de privilegios”.
Mmm… ¿Verdad?
Inyección SQL autenticada
El segundo exploit es una inyección SQL autenticada. Esto depende de que un atacante primero tenga algunas credenciales de usuario, incluso una tan baja como un suscriptor del sitio web.
Una inyección SQL es la explotación de una entrada con una serie inesperada de código o caracteres que luego habilita la explotación, como proporcionar acceso.
El sitio sin fines de lucro Open Web Application Security Project (OWASP) define una inyección SQL como esta: defines a SQL Injection like this
- “An unintended data enters a program from an untrusted source.
- The data is used to dynamically construct a SQL query”
Jetpack señala que la vulnerabilidad de escalada de privilegios permite a un atacante montar el ataque de inyección de SQL autenticado.
“While this endpoint wasn’t meant to be accessible to users with low-privileged accounts, the aforementioned privilege escalation attack vector made it possible for them to abuse this vulnerability.”
“Si bien este punto final no estaba destinado a ser accesible para usuarios con cuentas con pocos privilegios, el vector de ataque de escalada de privilegios mencionado anteriormente les permitió abusar de esta vulnerabilidad”.
Se recomienda actualizar el complemento SEO
Esta vulnerabilidad afecta a las versiones 4.0.0 a 4.1.5.2. La última versión en este momento, 4.1.5.3 es la versión más segura para actualizar a. Los investigadores de seguridad de Jetpack recomiendan actualizar a la última versión.
Citas
Lea el informe de vulnerabilidad de Jetpack:
Graves vulnerabilidades solucionadas en la versión 4.1.5.3 del complemento SEO todo en uno Severe Vulnerabilities Fixed in All In One SEO Plugin Version 4.1.5.3
Lea qué es una inyección SQL
Inyección SQL SQL Injection
Leer el articulo original en Search Engine Journal.
