Descubierto en WordPress error crítico que estuvo sin parchear durante 6 años

El ataque de ejecución remota de código, descubierto y reportado al equipo de seguridad de WordPress a fines del año pasado, puede ser explotado por un atacante con bajos privilegios con al menos una cuenta de "autor" que usa una combinación de dos vulnerabilidades separadas (Ruta Tranversal e Inclusión de archivos locales) que residen en el núcleo de WordPress.

El requisito de al menos una cuenta de autor reduce en cierta medida la gravedad de esta vulnerabilidad, que podría ser explotada por un colaborador de contenido deshonesto o un atacante que de alguna manera se las arregla para obtener la credencial del autor mediante phishing, reutilización de contraseñas u otros ataques.

"Un atacante que obtiene acceso a una cuenta con al menos privilegios de autor en un sitio de WordPress de destino puede ejecutar un código PHP arbitrario en el servidor subyacente, lo que lleva a una toma de control remota completa", dice Scannell.

Demostración de vídeo: así es cómo funciona el ataque

Según Simon Scannell, investigador de RIPS Technologies GmbH, el ataque aprovecha la forma en que el sistema de gestión de imágenes de WordPress maneja las entradas Post Meta que se utilizan para almacenar la descripción, el tamaño, el creador y otra información meta de las imágenes cargadas.

Scannell descubrió que una cuenta de autor malintencionada o comprometida puede modificar cualquier entrada asociada con una imagen y establecerla en valores arbitrarios, lo que lleva a la vulnerabilidad de la ruta de acceso.

"La idea es configurar set _wp_attached_file en evil.jpg?shell.php, lo que llevaría a una solicitud HTTP a la siguiente URL: https://targetserver.com/wp-content/uploads/evil.jpg?shell.php", explica scannell.

Y, "todavía es posible colocar la imagen resultante en cualquier directorio utilizando una carga útil como evil.jpg?/../../evil.jpg".

La vulnerabilidad en la ruta transversal en combinación con una falla de inclusión de archivo local en el directorio de temas podría permitir al atacante ejecutar código arbitrario en el servidor de destino.

El ataque, como se muestra en el vídeo de prueba de concepto compartido por el investigador, se puede ejecutar en segundos para obtener un control completo sobre un blog de WordPress vulnerable.

Según Scannell, el ataque de ejecución de código se convirtió en no explotable en las versiones de WordPress 5.0.1 y 4.9.9 después de que se introdujera un parche para otra vulnerabilidad que evitaba que usuarios no autorizados establecieran entradas arbitrarias de Post Meta.

Sin embargo, el defecto Path Traversal aún no está parcheado incluso en la última versión de WordPress y puede ser explotado si algún complemento de terceros instalado maneja incorrectamente las entradas Post Meta.

Scannell confirmó que la próxima versión de WordPress incluiría una solución para abordar completamente el problema demostrado por el investigador.