Dos vulnerabilidades de seguridad críticas y de entrada peligro en el muy popular complemento SEO de WordPress “All in One” expusieron a más de 3 millones de sitios web a ataques de adquisición.
Las fallas de seguridad descubiertas e informadas por el investigador de seguridad de Automattic, Marc Montpas, son un error crítico de Subida de privilegios autenticados (CVE-2021-25036) y una Inyección SQL autenticada de entrada peligro (CVE-2021-25037).
Más de 800.000 sitios WordPress vulnerables
El desarrollador del complemento lanzó una puesta al día de seguridad para tocar los dos Todo en uno errores el 7 de diciembre de 2021.
Sin bloqueo, más de 820,000 sitios que usan el complemento aún no han actualizado su instalación, según descargar estadísticas durante las últimas dos semanas desde que se lanzó el parche y todavía están expuestos a ataques.
Lo que hace que estas fallas sean mucho peligrosas es que, aunque explotar con éxito las dos vulnerabilidades requiere que los actores de amenazas estén autenticados, solo necesitan permisos de bajo nivel, como Suscriptor, para violar de ellos en los ataques.
Suscriptor es un rol de agraciado predeterminado de WordPress (como Colaborador, Autor, Editor y Administrador), comúnmente preparado para permitir que los usuarios registrados comenten artículos publicados en sitios de WordPress.
Aunque los suscriptores generalmente solo pueden editar su propio perfil encima de editar comentarios, en este caso, pueden explotar CVE-2021-25036 para elevar sus privilegios y obtener la ejecución remota de código en sitios vulnerables y, probablemente, controlarlos por completo.
| Plazo | Descargas |
| 2021-12-07 | 336738 |
| 2021-12-08 | 1403672 |
| 2021-12-09 | 68941 |
| 2021-12-10 | 45392 |
| 2021-12-11 | 31346 |
| 2021-12-12 | 26677 |
| 2021-12-13 | 35666 |
| 2021-12-14 | 34938 |
| 2021-12-15 | 72301 |
| 2021-12-16 | 28672 |
| 2021-12-17 | 24699 |
| 2021-12-18 | 18774 |
| 2021-12-19 | 17972 |
| 2021-12-20 | 25388 |
| Total | 2171176 |
Se insta a los administradores de WordPress a renovar lo antaño posible
Como reveló Montpas, aumentar los privilegios al violar de CVE-2021-25036 es una tarea realizable en los sitios que ejecutan una lectura All in One SEO sin parches al “cambiar un solo carácter a mayúsculas” para eludir todas las verificaciones de privilegios implementadas.
“Esto es particularmente preocupante porque algunos de los puntos finales del complemento son conveniente sensibles. Por ejemplo, el punto final aioseo/v1/htaccess puede reescribir el .htaccess de un sitio con contenido injusto”, explicó Montpas.
“Un atacante podría violar de esta función para ocultar puertas traseras .htaccess y ejecutar código bellaco en el servidor”.
Se recomienda a los administradores de WordPress que todavía usan versiones All In One SEO afectadas por estas vulnerabilidades graves (entre 4.0.0 y 4.1.5.2) que aún no han instalado el parche 4.1.5.3 que lo hagan de inmediato.
“Le recomendamos que verifique qué lectura del complemento All In One SEO está usando su sitio y, si está internamente del rango afectado, actualícelo lo antaño posible”. advirtió el investigador hace una semana.
