Diario Informe

600,000 sitios de WordPress afectados por la vulnerabilidad crítica del complemento RCE

Se ha descubierto que los complementos esenciales para Elementor, un popular complemento de WordPress utilizado en más de un millón de sitios, tienen una vulnerabilidad de ejecución remota crítica de código (RCE) en la versión 5.0.4 y anteriores.

La falla permite que un usuario no autenticado realice un ataque de inclusión de archivos locales, como un archivo PHP, para ejecutar código en el sitio.

"La vulnerabilidad de inclusión de archivos locales existe debido a la forma en que se utilizan los datos de entrada del usuario dentro de la función de inclusión de PHP, que es parte de las funciones ajax_load_more y ajax_eael_product_gallery". explica los investigadores de PatchStack que descubrieron la vulnerabilidad.

El único requisito previo para el ataque es que el sitio tenga habilitados los widgets de "galería dinámica" y "galería de productos" para que no haya verificación de token.

Ejemplo de código que activa el defecto
Ejemplo de código que activa el defecto
Fuente: Patchstack
Índice de contenidos
  1. Dos intentos fallidos de parche
  2. Actualizar y mitigar

Dos intentos fallidos de parche

El investigador Wai Yan Muo Thet descubrió la vulnerabilidad el 25 de enero de 2022 y el desarrollador del complemento ya sabía de su existencia en ese momento.

De hecho, el autor lanzó la versión 5.0.3 para resolver este problema mediante la aplicación de una función "sanitize_text_field" en los datos de entrada del usuario. Sin embargo, este saneamiento no impide la inclusión de cargas útiles locales.

El segundo intento fue la versión 5.0.4, que agregó la función "sanitize_file_name" e intentó eliminar caracteres especiales, puntos, barras y cualquier otra cosa que pudiera usarse para omitir el paso de desinfección del texto.

Función para desinfectar el campo de texto.
Función para desinfectar el campo de texto.
Fuente: Patchstack

Esta fue la versión que probó Patchstack y encontró vulnerable, por lo que informaron al desarrollador que la solución no mitigaba suficientemente el problema.

Eventualmente, el autor lanzó la versión 5.0.5 que implementó la función "ruta real" de PHP, evitando resoluciones de rutas maliciosas.

Actualizar y mitigar

Esta versión se lanzó la semana pasada, 28 de enero de 2022, y en este momento solo se ha instalado alrededor de 380,000 veces según las estadísticas de descarga de WordPress.

Con el complemento instalado en más de 1 millón de sitios de WordPress, eso significa que hay más de 600 000 sitios que aún no han aplicado la actualización de seguridad.

Si se encuentra entre los muchos que usan complementos esenciales para Elementor, puede obtener la última versión desde aquí o aplicar la actualización directamente desde el panel de WP.

Para evitar que los actores exploten los defectos de inclusión de archivos locales incluso cuando no se pueden mitigar directamente, siga estos pasos:

  • Guarde las rutas de sus archivos en una base de datos segura y proporcione una identificación para cada uno.
  • Utilice archivos de lista blanca verificados y protegidos e ignore todo lo demás.
  • No incluya archivos en un servidor web que puedan verse comprometidos, sino que utilice una base de datos en su lugar.
  • Haga que el servidor envíe automáticamente encabezados de descarga en lugar de ejecutar archivos en un directorio específico.

Descubre más contenido

Subir Change privacy settings