Se recomienda a los propietarios de WordPress que aseguren sus sitios web actualizando el complemento Buscar y reemplazar en tiempo real para evitar que los atacantes inyecten código malicioso en sus sitios y creen cuentas de administrador deshonestas explotando una falla de falsificación de solicitudes entre sitios
La vulnerabilidad de seguridad es una falsificación de solicitud entre sitios (CSRF) que conduce a ataques de scripting entre sitios almacenados (XSS almacenado) y afecta a todas las versiones de Buscar y reemplazar en tiempo real hasta 3.9.
Se puede abusar para engañar a los administradores de WordPress para que inyecten JavaScript malicioso en las páginas de sus propios sitios web después de hacer clic en un enlace malicioso dentro de un comentario o correo electrónico.
El complemento de WordPress Buscar y reemplazar en tiempo real está instalado en más de 100,000 sitios y permite a los usuarios reemplazar temporalmente el contenido de texto y código en sus sitios en tiempo real sin tener que ingresar al código fuente de los sitios y realizar cambios permanentes.
Trucos e inyecciones de códigos maliciosos
Un atacante puede aprovechar la funcionalidad del complemento para reemplazar cualquier contenido en un sitio objetivo con código malicioso, como se detalla en un informe publicado hoy por el analista de amenazas de Wordfence Chloe Chamberland.
Este código JavaScript se ejecutará automáticamente "cada vez que un usuario navegue a una página que contenga el contenido original", según Chamberland.
Por ejemplo, los atacantes podrían abusar de la vulnerabilidad para reemplazar una etiqueta HTML como
con su código malicioso, lo que llevaría a que casi todas las páginas del sitio atacado de WordPress se conviertan en una herramienta maliciosa y provoquen un ataque de alto impacto después de una explotación exitosa .El código malicioso podría "usarse para inyectar una nueva cuenta de usuario administrativo, robar cookies de sesión o redirigir a los usuarios a un sitio malicioso, permitiendo a los atacantes obtener acceso administrativo o infectar a visitantes inocentes que navegan en un sitio comprometido", según el informe de Chamberland .
Para reemplazar el contenido antes de que la página web de datos se envía al navegador de un visitante del sitio, "el plugin registra una página de submenú ligada a la función far_options_page con un requisito de capacidad de activate_plugins ," explica Chamberland.
"La función far_options_page contiene el núcleo de la funcionalidad del complemento para agregar nuevas reglas de búsqueda y reemplazo", agregó.
"Desafortunadamente, esa función no pudo utilizar la verificación nonce, por lo que la integridad de la fuente de una solicitud no se verificó durante la actualización de la regla, lo que resultó en una vulnerabilidad de falsificación de solicitudes entre sitios".
Parcheado en cuestión de horas, más de 70 mil sitios siguen siendo vulnerables
La vulnerabilidad fue descubierta e informada el 22 de abril y el desarrollador de Real-Time Find and Replace respondió con un parche completo unas pocas horas después del informe de divulgación inicial.
Wordfence ha calificado esta falla de seguridad con un puntaje CVSS de 8.8 que lo convierte en un problema de alta gravedad, un hecho que debería incitar a todos los usuarios a actualizar de inmediato a la versión 4.0.2, la versión del complemento que parchea completamente el error.
Desafortunadamente, a pesar de la pronta respuesta del desarrollador y la disponibilidad de la solución de seguridad durante los últimos cinco días, poco más de 27,000 de todos los usuarios han actualizado sus instalaciones de Buscar y reemplazar en tiempo real a 4.0.2, la última versión libre de errores.
Fecha actualización el 2021-04-28. Fecha publicación el 2020-04-28. Categoría: Hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil