Vulnerabilidades críticas nos complementos de WordPress con máis de 400 mil instalacións
En tres plugins populares para o sistema de xestión de contidos web WordPress, con máis de 400 mil instalacións, identificadovulnerabilidades críticas:
Vulnerabilidade no complemento Cliente InfiniteWP, que ten máis de 300 mil instalacións activas, permítelle conectarse sen autenticarse como administrador do sitio. Dado que o complemento está deseñado para unificar a xestión de varios sitios nun servidor, un atacante pode obter o control de todos os sitios servidos usando o cliente InfiniteWP á vez. Para atacar, abonda con coñecer o inicio de sesión dun usuario con dereitos de administrador e despois enviar unha solicitude POST especialmente deseñada (indicando parámetro "add_site" ou "readd_site"), pode entrar na interface de xestión cos dereitos deste usuario. A vulnerabilidade é causada por un erro na implementación da función de inicio de sesión automático.
problema eliminado no lanzamento de InfiniteWP Client 1.9.4.5.
Dúas vulnerabilidades no complemento Reinicio da base de datos WP, que se usa en aproximadamente 80 mil sitios. A primeira vulnerabilidade permítelle restablecer o contido de calquera táboa da base de datos ao estado inicial sen pasar a autenticación (o que resulta no estado dunha nova instalación de WordPress, eliminando os datos asociados ao sitio). O problema é causado pola falta de verificación de permisos ao executar a función de reinicio.
A segunda vulnerabilidade en WP Database Reset require un acceso autenticado (abonda cunha conta con dereitos mínimos de subscritor) e permítelle obter privilexios de administrador do sitio (pode eliminar todos os usuarios da táboa wp_users, despois de que o usuario restante actual será tratado como un administrador). Problemas resoltos na versión 3.15.
Vulnerabilidade no complemento Cápsula horaria WP, que ten máis de 20 mil instalacións, permítelle conectarse con dereitos de administrador sen autenticación. Para levar a cabo un ataque, abonda con engadir a liña IWP_JSON_PREFIX á solicitude POST e, se está presente, chámase a función wptc_login_as_admin sen ningunha comprobación. Problema eliminado na versión 1.21.16.