Investigadores de seguridad, descubrieron una vulnerabilidad crítica en un complemento de WordPress con más de 90.000 instalaciones, en las que, los actores de amenazas utilizan la ejecución remota de código para comprometer los sitios web de sus víctimas. Este complemento, conocido como Backup Migration, sirve para automatizar las copias de seguridad del sitio en el almacenamiento local o en una cuenta de Google Drive.
La vulnerabilidad, rastreada como CVE-2023-6553 y clasificado con una puntuación de gravedad de 9,8/10, fue descubierta por un grupo de cazadores de errores conocido como Nex Team, quienes lo informaron al equipo de seguridad de WordPress Wordfence en el marco de un programa de recompensas por errores lanzado recientemente.
Según lo informado por Wordfence, dicha vulnerabilidad afecta a todas las versiones de complementos hasta Backup Migration 1.3.6 incluida, donde los actores pueden explotarlo con ataques de baja complejidad sin interacción con el usuario, permitiendo apoderarse de sitios web específicos e inyectar código PHP a través del archivo /includes/backup-heart.php.
En dicho archivo, utilizado por el complemento Backup Migration, se intenta incorporar bypasser.php del directorio BMI_INCLUDES (definido fusionando BMI_ROOT_DIR con la cadena de inclusión) en la línea 118.
Sin embargo, BMI_ROOT_DIR se define a través del encabezado HTTP content-dir que se encuentra en la línea 62, lo que hace que BMI_ROOT_DIR esté sujeto al control del usuario.
Parche lanzado en cuestión de horas
El 6 de diciembre, Wordfence informó sobre la falla de seguridad crítica a BackupBliss, equipo de desarrollo detrás del complemento Backup Migration, por lo que, los desarrolladores, tuvieron que actuar y lanzar un parche al poco tiempo, sin embargo, y a pesar del lanzamiento de la versión parcheada del complemento Backup Migration 1.3.8, casi 50.000 sitios web de WordPress aún utilizan la versión vulnerable, según muestran las estadísticas de descarga de la organización WordPress.org.
Por otro lado, los administradores de WordPress también están siendo blanco de una campaña de phishing que intenta engañarlos para que instalen complementos maliciosos utilizando avisos de seguridad falsos de WordPress para una vulnerabilidad ficticia rastreada como CVE-2023-45124 informada oportunamente.
La semana pasada, WordPress solucionó una vulnerabilidad de la cadena de programación orientada a propiedades (POP) que podría permitir a los atacantes obtener la ejecución arbitraria de código (PHP) bajo ciertas condiciones (cuando se combina con algunos complementos en instalaciones multisitio).
En ese contexto, y bajo los continuos ataques que se sufren a diario en la plataforma, los especialistas recomendaron encarecidamente a los administradores, que protejan sus sitios web contra posibles ataques de este tipo, dado que, se trata de una nueva vulnerabilidad crítica que los actores maliciosos no autenticados podrían explotar de manera constante.
Fuente