La vulnerabilidad podría ser aprovechado por un atacante no autenticado para inyectar contenido malicioso así como para la elevación de privilegios.
El atacante podría aprovechar la vulnerabilidad de inyección de contenidos de día cero para modificar los mensajes, páginas, así como cualquier otro tipo de contenido.
"Esta vulnerabilidad de elevación de privilegios afecta a la API REST de WordPress que recientemente fue puesto en uso generalizado en todos los sitios de WordPress con la introducción de criterios de valoración oficiales de la API en la versión 4.7." Establece una entrada de blog publicada por Sucuri. "Uno de estos criterios de valoración permite el acceso (a través de la API) para ver, editar, borrar y crear puestos de trabajo. Dentro de este criterio de valoración particular, un error sutil permite a los visitantes para editar cualquier puesto en el sitio.
La API REST está activado por defecto en todos los sitios que utilizan WordPress 4.7 o 4.7.1. Si su sitio web es en estas versiones de WordPress, entonces es actualmente vulnerable a este error".
El impacto de la falla es grave, al menos 18 millones de sitios web corren el WordPress populares CMS, aproximadamente el 26% de los 10.000 sitios web se están ejecutando WordPress.
Los expertos de Sucuri han trabajado con el equipo de desarrollo de WordPress que fija la vulnerabilidad de inyección contenidos de día cero en la última versión 4.7.2 .
Los expertos de Sucuri no proporcionaron detalles técnicos acerca de la falla para evitar que los ladrones pueden explotar la vulnerabilidad en ataques en el medio silvestre.
"Se trata de una vulnerabilidad grave que puede ser mal utilizada de diferentes maneras para manipular un sitio vulnerable. Estamos ocultando algunos detalles técnicos para hacer más difícil para los chicos malos, pero dependiendo de los plugins instalados en un sitio, que puede conducir a una RCE (ejecución remota de comandos). Además, a pesar de que el contenido se pasa a través wp_kses, hay formas de ejecución de JavaScript y HTML a través de él. Actualizar ahora! ", Continúa el mensaje.
Fecha actualización el 2017-6-17. Fecha publicación el 2017-2-2. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio