Un fallo en WordPress permite a un autor borrar ficheros y ejecutar código arbitrario

Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.

A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.

La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.

Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como “.httaccess” del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero “wp-config.php”, abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.

Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero “wp-config.php”, así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.

Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.

Fuente: The Hacker News