La base de datos nacional de vulnerabilidades del gobierno de los Estados Unidos (NVD) publicó un aviso sobre una vulnerabilidad descubierta en el complemento de WordPress WP Statistics que afecta hasta 600,000 instalaciones activas.
A la vulnerabilidad se le asignó una puntuación de nivel de amenaza media de 6,5 en una escala de 1 a 10, donde el nivel 10 representa el nivel de vulnerabilidad más grave.
Falsificación de solicitud entre sitios de estadísticas de WP (CSRF)
Se descubrió que el complemento WP Statistics contenía una vulnerabilidad de falsificación de solicitud entre sitios que podría permitir que un atacante comprometiera un sitio web activando o desactivando complementos.
Una falsificación de solicitud entre sitios es un ataque que requiere que un usuario de sitio web registrado (como un administrador) realice una acción como hacer clic en un enlace, lo que luego permite que un atacante aproveche una brecha de seguridad.
La brecha de seguridad en este caso es una «validación de nonce faltante o incorrecta».
Un nonce de WordPress es un token de seguridad que se proporciona a un usuario registrado que le permite realizar acciones de forma segura que solo un usuario registrado puede realizar.
Las páginas para desarrolladores de WordPress explican el nonce con el ejemplo de un administrador que elimina una publicación.
WordPress podría generar una URL como esta cuando un usuario de nivel administrador elimina una publicación.
A continuación se muestra un ejemplo hipotético de una URL generada al eliminar una publicación con un número de identificación de 123:
Un administrador de sitio de WordPress registrado recogería un nonce y la URL, en el ejemplo, podría verse así:
&_wpnonce=b192fc4204
Esa última parte, &_wpnonce=b192fc4204es el nonce.
Entonces, lo que sucede es que el nonce falta o no está validado correctamente dentro del complemento WP Statistics y eso crea una brecha de seguridad para que un pirata informático malintencionado la aproveche.
La base de datos de vulnerabilidad nacional (NVD) lo explica como esto:
“El complemento WP Statistics para WordPress es vulnerable a la falsificación de solicitudes entre sitios en versiones hasta la 13.1.1 inclusive. Esto se debe a una validación nonce faltante o incorrecta en la función view().
Esto hace posible que los atacantes no autenticados activen y desactiven complementos arbitrarios, a través de una solicitud falsificada y pueden engañar al administrador del sitio para que realice una acción como hacer clic en un enlace”.
Parche de vulnerabilidad CSRF
La vulnerabilidad del complemento WP Statistics afecta a la versión hasta la 13.1.1 incluida. Sin embargo, se han agregado numerosas correcciones de seguridad desde entonces, incluso en la versión 13.2.11, además de correcciones adicionales después de eso.
La versión actual del complemento es 14.0.1. En este momento, solo el 29,3 % de los usuarios utilizan la versión más actualizada.
Los usuarios de la versión desactualizada del complemento pueden considerar actualizar a la última versión.
Lea el aviso de seguridad de NVD:
Imagen destacada de Shutterstock/Asier Romero
#Statistics #WordPress #Plugin #Parches #CSRF #Vulnerabilidad