Miles de sitios de WordPress que usan el complemento Yellow Pencil fueron expuestos a piratería debido a una vulnerabilidad de escalada de privilegios en el complemento.
Una vulnerabilidad de escalada de privilegios en el complemento Personalizador del tema visual de lápiz amarillo expone los sitios web de WordPress para piratear. Los atacantes podrían aprovechar la falla para actualizar opciones arbitrarias en instalaciones vulnerables.
A principios de esta semana, el complemento se eliminó del repositorio de WordPress.org. Se ha estimado que el complemento está instalado en más de 30,000 sitios web.
Expertos en empresa de seguridad. Cercado de palabras observó un gran volumen de intentos para explotar la vulnerabilidad después de que un investigador de seguridad reveló públicamente esta semana la prueba de concepto (POC) para un conjunto de dos vulnerabilidades de software que afectan al complemento.
El martes, un investigador de seguridad tomó la decisión irresponsable y peligrosa de publicar una publicación de blog que incluye una prueba de concepto (POC) que detalla cómo explotar un conjunto de dos vulnerabilidades de software presentes en el complemento", lee la publicación del blog publicada por Wordfence.
“Estamos viendo un gran volumen de intentos para explotar esta vulnerabilidad. Las hazañas se parecen mucho al POC publicado por el investigador irresponsable ".
Los expertos dijeron que la vulnerabilidad de escalada de privilegios existe en el archivo yellow-pencil.php. El archivo se utiliza para verificar si el parámetro de solicitud yp_remote_get se ha establecido, y si lo ha hecho, el complemento aumenta los privilegios de los usuarios a los de un administrador.
Un no autenticado el usuario podría operar con privilegios de administrador, por ejemplo, podría cambiar las opciones arbitrarias.
Los expertos encontraron similitudes con otras campañas observadas recientemente por los expertos en seguridad, como los ataques que intentaron explotar las vulnerabilidades de los plugins Social Warfare , Easy WP SMTP y Yuzo Related Posts.
"Nuevamente estamos viendo puntos en común entre estos intentos de explotar y los ataques a las vulnerabilidades recientemente descubiertas en los plugins Social Warfare, Easy WP SMTP y Yuzo Related Posts", continúa el análisis. "Las hazañas hasta ahora están utilizando un script malicioso.t alojado en un domain, hellofromhony [.] com, que se resuelve en 176.123.9 [.] 53. Esa dirección IP fue utilizada en los otros ataques mencionados. Estamos seguros de que las cuatro campañas de ataque son el trabajo del mismo actor de amenazas ".
"Como sigue siendo el caso, un investigador de seguridad descontento continúa poniendo en riesgo a la comunidad de WordPress al divulgar públicamente los POC para las vulnerabilidades de día cero", concluye Wordfence.
Fecha actualización el 2021-04-15. Fecha publicación el 2019-04-15. Categoría: wordpress Autor: Oscar olg Mapa del sitio Fuente: securityaffairs. Version movil