¡Actualiza Wordpress ahora con la versión 4.7.2!
La semana pasada WordPress corrigió tres fallas de seguridad, pero ayer la compañía reveló una desagradable vulnerabilidad de día cero que permite a los hackers no autorizados modificar el contenido de cualquier publicación o página dentro de un sitio de WordPress.
El desagradable error reside en la REST API de Wordpress que conduciría a la creación de dos nuevas vulnerabilidades: la escalada de privilegios remotos y los errores de inyección de contenido.
Wordpress es el sistema de gestión de contenidos (CMS) más popular del mundo utilizado en millones de sitios web. Recientemente el CMS agregó y activó la REST API de forma predeterminada en WordPress 4.7.0.
Un defecto permite a un hacker no autorizado redirigir a los visitantes a abusos maliciosos
La vulnerabilidad es fácil de explotar y afecta a las versiones 4.7 y 4.7.1 del sistema de gestión de contenido de Wordpress (CMS), lo que permite a un atacante no autenticado modificar todas las páginas de sitios sin parche y redirigir a los visitantes a exploits maliciosos y un gran número de ataques.
La vulnerabilidad fue descubierta y reportada por Marc-Alexandre Montpas de Sucuri al equipo de seguridad de WordPress quien manejó el asunto muy bien al lanzar un parche, pero no reveló detalles sobre el fallo en un esfuerzo por mantener a los hackers lejos de explotar el error antes de que millones de sitios web implementen el parche.
"Esta vulnerabilidad de escalamiento de privilegios afecta a la REST API de WordPress", escribe Montpas en una publicación del blog. "Uno de estos puntos finales REST permite el acceso (a través de la API) para ver, editar, eliminar y crear artículos. En este punto final particular, un error sutil permite a los visitantes editar cualquier post en el sitio.
¿Por qué WordPress demoró la divulgación de la vulnerabilidad?
El problema fue descubierto el 22 de enero, parcheado el 26 de enero y la corrección se puso a disposición en la versión 4.7.2 a los sitios web que utilizan el popular CMS.
Los proveedores de seguridad de Sucuri y los hosts trabajaron en estrecha colaboración con el equipo de seguridad de Wordpress durante más de una semana para instalar el parche, asegurando que el problema se tratara en breve antes de que se hiciera público.
La compañía también informó a las compañías de seguridad, incluyendo SiteLock, Cloudflare e Incapsula durante 9 días entre la divulgación y el parche.
Esto es lo que dice el colaborador principal de Wordpress, Aaron Campbell, sobre el retraso en la divulgación de la vulnerabilidad:
"Creemos que la transparencia está en el mejor interés del público ... [y] ... en este caso, intencionalmente retrasamos la divulgación del problema en una semana para garantizar la seguridad de millones de sitios adicionales de WordPress."
"Los datos de los cuatro WAFs y los hosts de WordPress no mostraron ninguna indicación de que la vulnerabilidad se había explotado en la naturaleza. Como resultado, tomamos la decisión de retrasar la divulgación de este problema en particular para dar tiempo a que se ejecuten actualizaciones automáticas y garantizar que muchos usuarios fueran protegidos como sea posible antes de que el tema se hiciera público".
¡Parchea Wordpress ahora!
La falla se ha considerado crítica, aunque la corrección se ha implementado automáticamente en millones de instalaciones de WordPress en las pocas horas después de que se publicó el parche.
Para obtener una explicación más técnica sobre la vulnerabilidad, puedes dirigirte a la publicación oficial del blog de Sucuri.
Para los administradores de WordPress que aún no han implementado el parche en contra de la desagradable vulnerabilidad es altamente recomendado actualizar su CMS a Wordpress versión 4.7.2.