Vulnerabilidades en el motor principal de WordPress no son raras, pero si poco frecuentes. La mayoría de los problemas que afectan a la integridad de los sitios que se ejecutan en el sistema de gestión de contenidos se introducen por los plugins de terceros y éstos ponen los sitios en riesgo de una serie de ataques.
Hoy WordPress se ha actualizado a la versión 4.3.1, donde ha parcheado tres vulnerabilidades, dos de los cuales fueron reportadas por los investigadores de Check Point Software Technologies.
La más grave de las vulnerabilidades parcheadas implica una función de WordPress específica llamada shortcodes. Que no son otra cosa que etiquetas HTML que se introdujeron en la versión 2.5 como una forma sencilla de incorporar macros en el código, lo que ahorra a los desarrolladores la molestia de volver a escribir HTML. WordPress es compatible con una gran cantidad de códigos short predeterminados, como permite la incrustación automática y dinámica de un archivo de vídeo Vimeo en un sitio de WordPress.
El jefe de investigaciones de vulnerabilidades de Check Point, Shahar Tal informó sobre un trío de vulnerabilidades a los ingenieros de seguridad de WordPress hace unos meses y se ha tomado el tiempo para arreglar todos los errores, dijo, sobre todo debido a los posibles problemas de compatibilidad con una serie de plugins de terceros.
Cuando la vulnerabilidad Short se aborda un atacante podría abusar de cómo la plataforma procesa los shortcode e inyectar código JavaScript arbitrario que podría ejecutar cuando una página de WordPress lo hace. Tales ataques cross-site scripting no son nada nuevo en lo que respecta a la seguridad de las aplicaciones basadas en la web y han sido la plataforma de lanzamiento de una serie de ataques, ya sea criminal o patrocinado por el estado.
Además de la vulnerabilidad de cross-site scripting, Tal y su colega Netanel Rubin, que pasó meses investigando las vulnerabilidades de la plataforma, también descubrieron una vulnerabilidad que permitía a los usuarios sin permisos adecuados publicar mensajes en un sitio. En el lapso de unos pocos meses, Rubin fue capaz de encontrar al principio vulnerabilidades que afectan sólo a los usuarios abonados en WordPress hasta el final a los ataques de inyección SQL remoto y cross-site scripting contra fallas en el motor central.
Check Point ha publicado hoy un informe sobre sus conclusiones de cómo sus investigadores fueron capaces de saltarse las protecciones en el lugar que se suponía iban a mantener los atacantes, se logro despojarlos de la whitelisting que niega etiquetas y atributos que no están aprobados.
«Hemos sido capaces de abrir una etiqueta e insertar algo en los atributos shortcode», dijo Tal. [WordPress] no pensó en todo cuando agregaron la función, que es muy rica y propenso a errores «.
Tal dijo que los ingenieros de WordPress investigaron la base de código en busca de problemas similares en otras áreas también.
Fuente: threatpost