Potencialmente, decenas, e incluso cientos, de miles de sitios web con tecnología de WordPress son vulnerables a un ataque a través de un error de ejecución remota de código (RCE) en un complemento ampliamente utilizado llamado Complementos esenciales para Elementor.

El complemento tiene más de 1 millón de instalaciones en todo el mundo y está diseñado para permitir que los propietarios de sitios web agreguen una variedad de personalizaciones a las páginas que se crearon con el generador de páginas Elementor para WordPress.

Un investigador de seguridad independiente descubrió recientemente la falla en las versiones 5.0.4 e inferiores de Essential Addons para Elementor e informó el problema al desarrollador del complemento. Luego, el desarrollador lanzó una versión actualizada con una solución para la vulnerabilidad. Pero los investigadores de PatchStack, un proveedor de seguridad de complementos de WordPress, probaron el parche y descubrieron que era defectuoso. Se lo informaron al desarrollador, y el 28 de enero se emitió otra versión, esta con una solución que funcionó.

En una publicación de blog, Pila de parches dijo que la vulnerabilidad brinda a cualquier usuario, independientemente de su estado de autenticación o autorización, una forma de realizar el llamado ataque de inclusión de archivos locales en un sitio con una versión vulnerable del complemento Elementor. La vulnerabilidad se puede explotar para incluir archivos locales, como uno con código PHP malicioso, en el sistema de archivos del sitio web que luego se puede ejecutar de forma remota.

Según PatchStack, la vulnerabilidad tiene que ver con la forma en que el complemento maneja los datos de entrada del usuario cuando se llama a ciertas funciones. Debido a esto, la vulnerabilidad se manifiesta solo si se utilizan widgets que utilizan estas funciones.

Pravin Madhani, director ejecutivo y cofundador de K2 Cyber ​​Security, describe los ataques de inclusión de archivos locales (LFI) como una técnica para lograr que una aplicación web ejecute archivos específicos en un servidor web. “Por lo general, LFI ocurre cuando una aplicación usa la ruta a un archivo como entrada”, dice Madhani. "Si la aplicación trata esta entrada como confiable, se puede usar un archivo local en la declaración de inclusión".

Más problemas de seguridad de WordPress
Para los operadores de sitios web de WordPress, la última falla es solo la última de una larga lista de vulnerabilidades de seguridad con las que han tenido que lidiar a lo largo de los años. Muchos de los problemas han tenido que ver con complementos para la plataforma. En enero, por ejemplo, otro proveedor de seguridad de WordPress, Wordfence, informó haber descubierto una vulnerabilidad, la misma, en tres complementos separados para WordPress. El problema afectó a unos 84,000 sitios web. 

En diciembre, los investigadores de JetPack informó dos vulnerabilidades: un error de escalada de privilegios autenticado (CVE-2021-25036) y un error de inyección SQL de autenticación (CVE-2021-25037) en un complemento de WordPress llamado All in One SEO. Las vulnerabilidades afectaron a unos 3 millones de sitios web cuando se divulgaron por primera vez. Otra vulnerabilidad más que Wordfence divulgado en noviembre, esta vez en un complemento llamado Starter Templates: Elementor, Gutenberg & Beaver Builder Templates, impactó alrededor de 1 millón de sitios web.

Las organizaciones pueden mitigar su exposición a estas amenazas implementando algunas mejores prácticas básicas, dice Madhani.

Estos incluyen la necesidad de mantener las aplicaciones de WordPress actualizadas y debidamente parcheadas. Las organizaciones también necesitan mantener solo los complementos que están usando activamente y asegurarse de que los complementos también se mantengan actualizados y parcheados. Tener controles de seguridad de varias capas también es fundamental, dice.

Idealmente, esto debería incluir seguridad perimetral, seguridad de aplicaciones en tiempo de ejecución y seguridad del servidor, dice. Como ejemplos, señala los cortafuegos de aplicaciones web, el control de seguridad de aplicaciones en tiempo de ejecución y las tecnologías de detección y respuesta de punto final. 

“Manténgase actualizado sobre los incidentes informados por sus herramientas y haga un seguimiento de los informes con regularidad, especialmente cualquier incidente de seguridad crítico”, aconseja Madhani. "Asegúrese de tener buenas reglas de contraseña y seguridad de contraseña (como MFA) para su sitio de WordPress".

• Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
• CriptoHawk. Radar de altcoins. Prueba gratis.
• Fuente: https://www.darkreading.com/vulnerabilities-threats/tens-of-thousands-of-websites-vulnerable-to-rce-flaw-in-wordpress-plugin