Esta mañana ha sido lanzada la actualización a la versión 2.0.7 para el plugin WP Maintenance Mode, la cual incluye correcciones para 3 vulnerabilidades de seguridad. De acuerdo con WordPress.org este plugin tiene una gran popularidad, con más de 400.000 usuarios activos. Las vulnerabilidades fueron descubiertas por Sean Murphy, Desarrollador Senior Wordfence, y se notificó al autor del plugin la semana pasada. Al mismo tiempo que se notificaba al autor se agregó una nueva regla de seguridad al feed del firewall.
La vulnerabilidad más grave afecta a los sitios de WordPress que permiten el registro de usuarios (por ejemplo en cualquier comercio electrónico), permitiendo a un atacante descargar una lista de los correos electrónicos de todos los usuarios suscritos. Otra vulnerabilidad permite al atacante modificar la configuración del plugin. El plugin WP Maintenance Mode se retiró temporalmente del repositorio de plugins durante la semana pasada con el fin de solucionar todos estos agujeros de seguridad.
Vulnerabilidad 1: Divulgación de información
Gravedad CVSS: 4.3 (Media)
Esta vulnerabilidad permite a un atacante remoto descargar la lista de suscriptores que, durante el funcionamiento del plugín WP Maintenance Mode, han pedido que se le notifique cuando la página web vuelve a estar operativa. Para aprovechar esta vulnerabilidad el atacante únicamente necesita tener una cuenta registrada en el sitio víctima sin permisos especiales.
Vulnerabilidad 2: Falta de autorización
Gravedad CVSS: 4.3 (Media)
Esta vulnerabilidad permite a un atacante con una cuenta de nivel de suscriptor modificar la configuración del plugin.
Vulnerabilidad 3: ejecución remota de código
Gravedad CVSS: 9.1 (Crítica)
Nos gustaría reseñar la puntuación CVSS en el caso particular de esta vulnerabilidad. La puntuación CVSS para esta vulnerabilidad es muy alta debido a la forma en la que CVSS calcula gravedad. Se trata de una vulnerabilidad de nivel «crítico», pero es importante que leas la descripción a continuación para comprender completamente el impacto que puede tener sobre tu web.
WP Maintenance Mode permite la entrada de información por parte un usuario sin verificar y que esta se evalúe como código PHP. En una instalación multisitio de WordPress se podría aprovechar esta vulnerabilidad para ejecutar comandos de shell, acceder a información sensible, obtener privilegios administrativos o causar una denegación de servicio.
Esto significa que en una instalación de multisitio de WordPress, al acceder a la administración de una de las web asociadas se puede obtener acceso completo a la red de administración y también obtener acceso al servidor de hosting para controlar completamente todas las web que se alojen en él.
Para aprovechar esta vulnerabilidad, es necesario tener acceso al área de administración en una instalación multisitio de WordPress por lo que esperamos que, aunque la puntuación CVSS sea de alto riesgo, esta vulnerabilidad no vaya a tener un impacto muy elevado.
No obstante es importante tener en cuenta su gravedad y las graves repercusiones que podría tener si un atacante accediese al shell de tu hosting.
Fuente: Wordfence
Mi web ha sido hackeada. ¿Qué puedo hacer?
La seguridad de las páginas web de nuestros clientes es una prioridad. Todos nuestros planes de alojamiento web están ubicados en centros de datos de alto rendimiento con elevadas medidas de seguridad.
La recomendación es mantener al día todas las características de nuestra web, especialmente en el caso de tratarse de un CMS (WordPress, Joomla, Magento, Prestashop…), así como de todos los complementos, plugins y componentes.
Si tu web ha sido claramente hackeada o tienes sospechas de que pueden estar operando con ella a tus espaldas contacta con nosotros. Nuestro equipo de expertos en seguridad web harán una evaluación de la situación y de riesgos para ofrecerte la mejor solución.
