El equipo de desarrollo de WordPress corrigió una falla de software introducida en la versión 5.1 que permitía a atacantes remotos realizar ataques de scripts cruzados entre sitios web (XSS por sus siglas en inglés) con la ayuda de comentarios maliciosamente creados en sitios web de WordPress con el módulo de comentarios habilitado.
La vulnerabilidad parchada en WordPress 5.1.1 haría posible que los ciberdelincuentes se apoderen de los sitios web que utilizan una vulnerabilidad de falsificación de solicitud entre sitios (CSRF, por sus siglas en inglés), la vulnerabilidad funciona atrayendo a un administrador registrado a visitar un sitio web malicioso que contiene una carga útil XSS.
A continuación, la carga útil de XSS se carga y ejecuta con la ayuda de un iFrame oculto, lo que permite a los atacantes no autenticados ejecutar código HTML y de script arbitrarios, lo que podría permitirles apoderarse de los sitios web vulnerables de WordPress.
El equipo de WordPress agradeció a Simon Scannell, el investigador de RIPS Technologies que informó del problema, en el anuncio de la versión 5.1.1:
Esta versión también incluye un par de correcciones de seguridad que controlan cómo se filtran los comentarios y luego se almacenan en la base de datos. Con un comentario creado con fines malintencionados, en una publicación de WordPress vulnerable a los scripts entre sitios. [..] Agradecemos a Simon Scannell, de RIPS Technologies, quien descubrió esta falla independientemente de algunos trabajos que estaban realizando los miembros del equipo de seguridad principal.
Como explicó Scannell en su análisis de la cadena de explotación que comienza con una vulnerabilidad CSRF, “la cadena permite que cualquier sitio de WordPress con configuración predeterminada sea tomada por un atacante, simplemente atrayendo a un administrador de dicho sitio web a un sitio web malicioso.”
Además, sigue explicando el reporte: “el administrador del sitio web víctima no nota nada en el sitio web del atacante y no tiene que participar en ninguna otra forma de interacción, aparte de visitar el sitio web creado por el atacante“.
Si bien el informe inicial de Scannell del 10 de octubre mencionó que “es posible inyectar más etiquetas HTML de las que se deberían permitir a través de CSRF a WordPress“, los investigadores lograron “escalar la inyección de HTML adicional a una vulnerabilidad de XSS almacenada“.
Como medida de mitigación para los administradores de WordPress que no pueden actualizar inmediatamente su instalación a la versión parcheada 5.1.1, Scannell recomienda desactivar los comentarios y desconectarse antes de visitar otros sitios web.
Un colaborador del equipo principal de WordPress Peter Wilson dijo que alrededor de 20,000 sitios web se habrían visto afectados por el error XSS recientemente parcheado.
Por otro lado, el investigador que encontró e informó el error dice que: “Las vulnerabilidades existen en las versiones de WordPress anteriores a 5.1.1 y son explotables con la configuración predeterminada. WordPress es utilizado por más del 33% de todos los sitios web en Internet, según su propia página de descarga. Teniendo en cuenta que los comentarios son una característica fundamental de los blogs y están habilitados de forma predeterminada, la vulnerabilidad potencialmente afecta a millones de sitios web“.