Si ejecuta un sitio de WordPress con el Los miembros Ultimate plugin instalado, asegúrese de haberlo actualizado a la última versión.

Durante el fin de semana, el creador del complemento publicó la versión 2.6.7, que se supone que repara un grave agujero de seguridad, descrito por el usuario @softwaregeek en el sitio de soporte de WordPress como sigue:

Una vulnerabilidad crítica en el complemento (CVE-2023-3460) permite que un atacante no autenticado se registre como administrador y tome el control total del sitio web. El problema ocurre con el formulario de registro del complemento. En este formulario parece posible cambiar ciertos valores para que la cuenta sea registrada. Esto incluye el wp_capabilities valor, que determina el rol del usuario en el sitio web.

El complemento no permite a los usuarios ingresar este valor, pero este filtro resulta ser fácil de eludir, lo que permite editar wp_capabilities y conviértete en administrador.

En otras palabras, al crear o administrar sus cuentas en línea, el formulario web del lado del cliente presentado a los usuarios no les permite oficialmente configurarse con superpoderes.

Pero el software de back-end no detecta ni bloquea de manera confiable a los usuarios deshonestos que envían deliberadamente solicitudes inapropiadas.

El complemento promete "facilidad absoluta"

El Software para miembros definitivos está destinado a ayudar a los sitios de WordPress a ofrecer varios niveles de acceso de usuario, enumerándose como el “mejor perfil de usuario y complemento de membresía para WordPress”, y hablando de sí mismo en su propaganda publicitaria como:

El perfil de usuario n.° 1 y complemento de membresía para WordPress. El complemento facilita que los usuarios se registren y se conviertan en miembros de su sitio web. El complemento le permite agregar hermosos perfiles de usuario a su sitio y es perfecto para crear comunidades en línea avanzadas y sitios de membresía. Ligero y altamente extensible, Ultimate Member le permitirá crear casi cualquier tipo de sitio donde los usuarios puedan unirse y convertirse en miembros con absoluta facilidad.

Desafortunadamente, los programadores no parecen tener mucha confianza en su propia capacidad para combinar la "facilidad absoluta" del uso del complemento con una seguridad sólida.

En una respuesta oficial al informe de seguridad anterior de @softwaregeek, la compañía describió su proceso de corrección de errores así [texto citado sic]:

Estamos trabajando en las correcciones relacionadas con esta vulnerabilidad desde la versión 2.6.3 cuando recibimos un informe de uno de nuestros clientes. Las versiones 2.6.4, 2.6.5, 2.6.6 cierran parcialmente esta vulnerabilidad, pero aún estamos trabajando junto con el equipo de WPScan para obtener el mejor resultado. También recibimos su informe con todos los detalles necesarios.

Todas las versiones anteriores son vulnerables, por lo que recomendamos actualizar sus sitios web a 2.6.6 y mantener las actualizaciones en el futuro para obtener las mejoras recientes de seguridad y funciones.

Actualmente estamos trabajando para solucionar un problema restante y lanzaremos una nueva actualización lo antes posible.

Errores en muchos lugares

Si estaba en servicio de seguridad cibernética durante el infame Vulnerabilidad de Log4Shell Durante la temporada de vacaciones de Navidad a fines de 2021, sabrá que algunos tipos de errores de programación terminan necesitando parches que necesitan parches, y así sucesivamente.

Por ejemplo, si tiene un desbordamiento de búfer en un solo punto de su código donde inadvertidamente reservó 28 bytes de memoria pero tenía la intención de escribir 128 todo el tiempo, corregir ese número erróneo sería suficiente para corregir el error de una sola vez.

Ahora, sin embargo, imagine que el error no se debió a un error de escritura en un solo punto del código, sino que fue causado por la suposición de que 28 bytes era el tamaño de búfer correcto en todo momento y en todos los lugares.

Es posible que usted y su equipo de codificación hayan repetido el error en otros lugares de su software, por lo que debe prepararse para una sesión prolongada de búsqueda de errores.

De esa manera, puede lanzar más parches de manera rápida y proactiva si encuentra otros errores causados ​​por el mismo error o uno similar. (Los errores son generalmente más fáciles de encontrar una vez que sabes qué buscar en primer lugar).

En el caso de Log4J, los atacantes también se dedicaron a rastrear el código, con la esperanza de encontrar errores de codificación relacionados en otras partes del código antes de que lo hicieran los programadores de Log4J.

Afortunadamente, el equipo de programación de Log4J no solo revisaron su propio código para corregir errores relacionados de manera proactiva, pero también estuvieron atentos a nuevas vulnerabilidades de prueba de concepto.

Algunas nuevas vulnerabilidades fueron reveladas públicamente por entusiastas cazadores de errores que aparentemente prefirieron la fama instantánea en Internet a la forma más sobria de reconocimiento tardío que obtendrían al revelar el error de manera responsable a los codificadores de Log4J.

Vimos una situación similar en la reciente vulnerabilidad de inyección de comando MOVEit, donde los asociados de la banda de ransomware Clop encontraron y explotaron un error de día cero en la interfaz web de MOVEit, lo que permite a los delincuentes robar datos confidenciales de la empresa y luego tratar de chantajear a las víctimas para que paguen "dinero secreto".

Progress Software, los creadores de MOVEit, corrigieron rápidamente el día cero y luego publicaron un segundo parche después de encontrar errores relacionados en una sesión propia de búsqueda de errores, solo para publicar un tercer parche poco después, cuando un cazador de amenazas de estilo propio encontró otro agujero que Progress había pasado por alto.

Lamentablemente, ese "investigador" decidió reclamar el crédito por encontrar la vulnerabilidad al publicarla para cualquiera y todos para ver, en lugar de darle a Progress uno o dos días para solucionarlo primero.

Esto obligó a Progress a declarar que era otro día cero y obligó a los clientes de Progress a desactivar por completo la parte del software con errores durante unas 24 horas mientras parche fue creado y probado

En este Los miembros Ultimate situación de error, los creadores del complemento no fueron tan considerados como los creadores de MOVEit, quienes recomendaron explícitamente a sus clientes que dejaran de usar el software mientras se reparaba ese nuevo y explotable agujero.

Ultimate Members simplemente aconsejó a sus usuarios que estuvieran atentos a las actualizaciones en curso, de las cuales la 2.6.7 recientemente publicada es la cuarta de una cadena de correcciones de errores para un problema notado por primera vez a mediados de junio de 2023, cuando 2.6.3 era el número de versión actual.

¿Qué hacer?

• Si eres usuario de UltimateMember, parchea con urgencia. Dada la forma poco sistemática en que el equipo de codificación del complemento parece estar abordando este problema, asegúrese de estar atento a futuras actualizaciones y aplíquelas tan pronto como pueda.
• Si eres un programador del lado del servidor, siempre asume lo peor. Nunca confíe en el código del lado del cliente que no puede controlar, como HTML o JavaScript que se ejecuta en el navegador del usuario, para garantizar que los datos de entrada enviados estén seguros. Valida tus entradas, como nos gusta decir en Naked Security. Mide siempre, nunca asumas.
• Si es programador, busque ampliamente problemas relacionados cuando se informe de algún error. Los errores de codificación cometidos en un lugar por un programador pueden haber sido duplicados en otro lugar, ya sea por el mismo codificador que trabaja en otras partes del proyecto, o por otros codificadores que "aprendieron" malos hábitos o siguieron con confianza suposiciones de diseño incorrectas.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/07/03/wordpress-plugin-lets-users-become-admins-patch-early-patch-often/