Un problema de seguridad crítico que se encuentra en el plugin de WordPress Ad Inserter actualmente instalado en más de 200,000 sitios web permite a los atacantes autenticados ejecutar código PHP de forma remota.
Ad Inserter es un plugin de administración de anuncios con muchas funciones de publicidad avanzadas para insertar anuncios en posiciones óptimas y viene con soporte para todo tipo de anuncios, como por ejemplo AdSense de Google, anuncios contextuales Amazon Native Shopping, media.net y diversos banners rotativos.
La vulnerabilidad se deriva del uso de la función check_admin_referer() para la autorización, cuando se diseñó específicamente para proteger sitios de WordPress contra ataques de falsificación de solicitudes entre sitios (CSRF, por sus siglas en inglés) mediante el uso de nonces que son unos tokens de un solo uso para bloquear solicitudes caducadas y repetidas.
Esta práctica es no es aconsejada por el sitio web oficial de WordPress que dice: “Nunca se debe confiar en Nonces para la autenticación o autorización, control de acceso“.
La vulnerabilidad se considera crítica y afecta a todos los sitios web de WordPress donde está instalada la versión 2.4.21 o inferior del complemento Ad Inserter.
Para solucionar este problema, los administradores de WordPress deben actualizarlo a la versión 2.4.22, que fue lanzada por el desarrollador del plugin dentro de las 24 horas después de haber sido notificado de la falla de seguridad.
.Según los investigadores de Wordfence que descubrieron el error crítico del complemento Ad Inserter: “La debilidad permitió a los usuarios autenticados (suscriptores y superiores) ejecutar código PHP arbitrario en sitios web usando el complemento“.
Los atacantes autenticados que tienen acceso a un nonce pueden omitir las comprobaciones de autorización activadas por la función check_admin_referer() para acceder al modo de depuración proporcionado por el complemento Ad Inserter.
Como explica Wordfence en un post muy detallado sobre la vulnerabilidad: “Normalmente, estas funciones de depuración solo están disponibles para los administradores, y cuando ciertas opciones están habilitadas, casi todas las páginas incluyen un bloque de Javascript. Ese Javascript contiene un nonce válido para la acción ai_ajax_backend,” sin embargo, una vez que el atacante tiene un nonce a su disposición, puede activar inmediatamente la función de depuración y de esa forma explotar la función de vista previa del anuncio enviando una carga maliciosa que contenga código PHP arbitrario, que será ejecutado por el servidor.
El desarrollador del plugin publicó el parche 2.4.22 el 13 de julio con una solución para la vulnerabilidad de ejecución remota de código autenticada después de que se notificara la falla de seguridad el 12 de julio.
Como se muestra en la entrada del marketplace de WordPress del plugin Ad Inserter, de una base de instalación de más de 200,000 sitios web, solo unos 50,000 lo han actualizado hasta el momento de publicar este post, si Ud. usa este plugin por favor actualice lo antes posible.