Investigadores han publicado detalles de una peligrosa vulnerabilidad en el popular plugin WooCommerce de WordPress que podría permitir a un atacante, con acceso a una simple cuenta de gestor de tienda, el controlar todo el sitio.
Los más de cuatro millones de usuarios de WooCommerce recibieron un primer aviso hace unas semanas cuando se actualizó la última versión:
A las versiones 3.4.5 y anteriores les afecta una serie de problemas que permitiría a los gestores de tienda exceder sus atribuciones y realizar acciones maliciosas.
Esta semana, la empresa experta en seguridad PHP RIPS Technologies, publicó un estudio sobre este problema. Hay dos partes en esta vulnerabilidad, la primera la describen los investigadores como una vulnerabilidad en el sistema de privilegios de WordPress.
La segunda, en el propio WooCommerce, es una simple vulnerabilidad de borrado de ficheros que afecta a las versiones 3.4.5 y anteriores.
Cuál de las es un problema más grave dependerá de si te preocupa más sobre la función de comercio electrónico del sitio o si eres el administrador, sea como sea la combinación significa problemas.
La vulnerabilidad
Tras ganar acceso a través de un ataque de phishing o de un trabajo interno, un atacante puede utilizar una debilidad en el log de la rutina de eliminación de ficheros para borrar woocommerce.php, haciendo caer toda la web y que WordPress elimine el plugin.
Esto, como descubrió el investigador de RIPS Technologies Simon Scannell, sería suficiente que cualquier usuario de WooCommerce con una cuenta de gestor de tienda y conocimientos de lo que hace para comprometer toda la web.
¿Pero cómo?
Cuando se instala WooCommerce, el rol de gestor de tienda obtiene la capacidad de editar las cuentas de los clientes, que se guarda en el propio WordPress.
Dado que esto se puede usar también para administrar las cuentas de los administradores de WordPress, se limita por un filtro especial de “meta capacidad” de WooCommerce.
Desafortunadamente, para que WordPress aplique esta protección el plugin debe estar activo, pero se podría desactivar utilizando el problema en el borrado de ficheros de WooCommerce.
Entonces la cuenta de WooCommerce con privilegios de gestor de tienda podría utilizar estos problemas para cambiar la contraseña de la web para controlar todo el sitio.
¿Qué hacer?
Por la parte de WooCommerce, asegurarnos de actualizar a la versión 3.4.6 que apareció el 11 de octubre. Los plugins no se actualizan por defecto, por lo que los administradores deben hacerlo ellos mismos en panel de control de WordPress.
Rediseñar cómo el sistema de permisos de WordPress interactúa con los plugins es más complicado.
Los plugins siempre han sido uno de los talones de Aquiles de WordPress. Lo que debemos siempre recordar es que necesitan una vigilancia constante al igual que la propia plataforma.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario