Los investigadores han revelado un fallo de seguridad que afecta a tres plugins diferentes de WordPress y que afecta a más de 84.000 sitios web y que podría ser aprovechado por un actor malicioso para hacerse con el control de sitios vulnerables.
"Este fallo hacía posible que un atacante actualizara opciones arbitrarias del sitio en un sitio vulnerable, siempre que pudiera engañar al administrador del sitio para que realizara una acción, como hacer clic en un enlace", dijo la empresa de seguridad de WordPress Wordfence en un informe publicado la semana pasada.
Rastreado como CVE-2022-0215, el fallo de falsificación de petición entre sitios (CSRF) tiene una calificación de 8,8 en la escala CVSS y afecta a tres plugins mantenidos por Xootix -
- Login/Signup Popup (Inline Form + Woocommerce),
- Side Cart Woocommerce (Ajax)
- Waitlist Woocommerce (notificador de existencias)
La falsificación de solicitudes entre sitios, también conocida como ataque de un solo clic o de sesión, ocurre cuando un usuario final autenticado es engañado por un atacante para que envíe una solicitud web especialmente diseñada. "Si la víctima es una cuenta administrativa, el CSRF puede comprometer toda la aplicación web", señala OWASP en su documentación.
En concreto, la vulnerabilidad tiene su origen en una falta de validación a la hora de procesar las peticiones AJAX, lo que permite a un atacante actualizar la opción "users_can_register" (es decir, cualquiera puede registrarse) de un sitio a true y establecer la configuración "default_role" (es decir, el rol por defecto de los usuarios que se registran en el blog) a administrador, otorgando un control total.
Login/Signup Popup está instalado en más de 20.000 sitios, mientras que Side Cart Woocommerce y Waitlist Woocommerce han sido instalados en más de 4.000 y 60.000 sitios, respectivamente.
Tras la revelación responsable por parte de los investigadores de Wordfence en noviembre de 2021, el problema se ha solucionado en la versión 2.3 de Login/Signup Popup, en la versión 2.1 de Side Cart Woocommerce y en la versión 2.5.2 de Waitlist Woocommerce.
Los hallazgos se producen poco más de un mes después de que los atacantes explotaran las debilidades de cuatro plugins y 15 temas de Epsilon Framework para atacar 1,6 millones de sitios de WordPress como parte de una campaña de ataque a gran escala originada desde 16.000 direcciones IP.
"Aunque esta vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) es menos probable de ser explotada debido al hecho de que requiere la interacción del administrador, puede tener un impacto significativo en un sitio explotado con éxito y, como tal, sirve como un recordatorio increíblemente importante para permanecer consciente al hacer clic en los enlaces o archivos adjuntos y para asegurarse de que está manteniendo regularmente sus plugins y temas actualizados", dijo Chloe Chamberland de Wordfence.