Los complementos de WordPress permiten a las organizaciones ampliar rápidamente la funcionalidad de sus sitios web sin necesidad de codificación ni conocimientos técnicos avanzados. Pero también han sido la mayor fuente de riesgo para los operadores de sitios web en los últimos años.
El ejemplo más reciente es una vulnerabilidad crítica de escalada de privilegios en un complemento que utilizan más de un millón de sitios web de WordPress, llamado Complementos esenciales para el complemento Elementor. La vulnerabilidad, rastreada como CVE-2023-32243, afecta las versiones 5.4.0 a 5.7.1 del complemento y permite que un atacante no autenticado aumente los privilegios a los de cualquier usuario en el sitio de WordPress, incluido el de un administrador.
Fallo de escalada de privilegios
Los investigadores de Patchstack descubrieron la vulnerabilidad el 8 de mayo y se la revelaron a WPDeveloper, el autor de Essential Addons for Elementor. WPDeveloper el 11 de mayo lanzó una nueva versión del software (versión 5.7.2) que soluciona el error. El proveedor describió que la nueva versión incluye una mejora de seguridad en el formulario de inicio de sesión y registro del software.
Según Patchstack, el error tiene que ver con el código de Essential Addons que restablece las contraseñas sin validar si las claves de restablecimiento de contraseña asociadas están presentes y son legítimas. Esto ofrece una forma para que un atacante no autenticado restablezca la contraseña de cualquier usuario en un sitio de WordPress afectado e inicie sesión en su cuenta.
“Esta vulnerabilidad ocurre porque [the] La función de restablecimiento de contraseña no valida una clave de restablecimiento de contraseña y, en cambio, cambia directamente la contraseña del usuario dado», Patchstack dijo en una publicación.
El nuevo error es una entre las miles de vulnerabilidades que los investigadores han descubierto en los complementos de WordPress en los últimos años.
Pila de parches contada 4.528 nuevas vulnerabilidades en complementos de WordPress solo en 2022, un sorprendente aumento del 328 % con respecto a los 1382 observados en 2021. Los complementos representaron el 93 % de los errores informados en el entorno de WordPress en 2022. Solo el 0,6 % de los errores confirmados estaban en la propia plataforma central de WordPress. Alrededor del 14% de los errores eran de gravedad alta o crítica.
Un aluvión implacable de fallas
La tendencia ha continuado sin cesar este año. iThemes, una empresa que rastrea las fallas de los complementos de WordPress semanalmente contó 160 vulnerabilidades solo en el período de una semana que finalizó el 26 de abril. Los errores afectaron a unos 8 millones de sitios web de WordPress, y solo 68 de ellos tenían parches en el momento de la divulgación de la vulnerabilidad.
La semana pasada, Patchstack informó sobre otra vulnerabilidad de escalada de privilegios en un complemento de WordPress diferente (Complementos de campos personalizados avanzados) que afectó a dos millones de sitios web. La vulnerabilidad les dio a los atacantes una forma de robar datos confidenciales de los sitios afectados y aumentar los privilegios en ellos.
En abril, Sucuri informó sobre una campaña denominada «Balada Injector», en la que un actor de amenazas, durante al menos los últimos cinco años, ha estado inyectando sistemáticamente malware en sitios de WordPress a través de complementos vulnerables. El proveedor de seguridad evaluó que el actor de amenazas detrás de la campaña había infectado al menos un millón de sitios de WordPress con malware que redirigía a los visitantes del sitio a sitios de soporte técnico falsos, sitios de lotería fraudulentos y otros sitios fraudulentos.
Sucuri encontró al actor de amenazas utilizando vulnerabilidades recientemente reveladas y, en algunos casos, errores de día cero para lanzar oleadas de ataques masivos contra los sitios de WordPress.
Gran parte del interés de los atacantes en el ecosistema de WordPress tiene que ver con su uso generalizado. Las estimaciones sobre el número exacto de sitios de WordPress en todo el mundo varían ampliamente y algunos fijan el número en más de 800 millones. El sitio web de encuestas tecnológicas W3Techs, que algunos consideran una fuente confiable de estadísticas relacionadas con WordPress, estima que algunos 43% de todos los sitios web en todo el mundo utilizan actualmente WordPress.
Según Patchstack, el creciente número de vulnerabilidades que se informan en el ecosistema de WordPress no es necesariamente una señal de que los desarrolladores de complementos se están volviendo más descuidados. Lo que indica más bien es que los investigadores de seguridad están buscando más.
«Esto también significa que el ecosistema de WordPress se está volviendo más seguro porque muchos de estos errores de seguridad se están solucionando y reparando», dijo Patchstack.
Relacionado:
Cerrar Aplicaciones Ulefone S7
