Error en API REST de WordPress puede ser usado en ataques XSS

La vulnerabilidad en los endpoints de la API REST es la responsable de más de un millón de ataques de vandalismo e intentos de monetizar estos ataques, además de abrir las puertas a otro tipo de ataque.

Investigadores de la empresa de seguridad Sucuri revelaron que es posible usar esta vulnerabilidad para realizar un ataque XSS.

El error que permite almacenar ataques XSS fue reparado la semana pasada en el núcleo de WordPress en la actualización de seguridad 4.7.3. Marc Montpas. Un investigador de Sucuri reportó que un atacante al modificar una página web usando algún exploit para la vulnerabilidad en los endpoints de la API REST, también pudo haber almacenado código malicioso.

“Combinado con la reciente vulnerabilidad que encontramos para inyectar contenido es posible para un atacante poder modificar de forma remota un post aleatorio en el sitio y almacenar código malicioso de Javascript en él. Este código se ejecutará cuando un visitante vea el post y cuando alguien edite el post desde el dashboard de WordPress. Como resultado, un administrador intentará arreglar el post modificado y, sin saberlo, activará el script malicioso que podrá ser usado para colocar una puerta trasera en el sitio y crear nuevos usuarios administradores.”

Este problema no fue solucionado hasta la versión 4.7.3 porque no podía ser usado sin el fallo original para inyectar contenido en la REST API y se necesitaba poseer privilegios de contribuidor en WordPress.

Montpas explicó que durante la investigación de la vulnerabilidad REST API, él descubrió cómo la función para embeber código en WordPress puede sobrepasar algunos obstáculos puestos por la función wp_kses(), la cual limita las etiquetas HTML que alguien puede insertar en un post.

Específicamente, Montpas mencionó que la función youtube_embed_url era particularmente útil para crear un escenario donde un atacante puede dejar un ataque XSS almacenado que se puede ejecutar después. “Cuando un administrador visita el post afectado, el efecto del ataque XSS se ejecutará y puede forzar al navegador a realizar acciones administrativas como almacenamiento de puertas traseras en el sitio y crear nuevas cuentas administrativas. Esta vulnerabilidad por sí sola no es muy riesgosa porque requiere que el atacante tenga permisos específicos en el sitio, pero combinada con la vulnerabilidad encontrada el mes pasado en la REST API, que permite básicamente a cualquier persona modificar los post de un sitio, podría haber causado un problema”.

La vulnerabilidad REST API permite a un atacante con solo una línea de código acceder a la API y cambiar contenido del sitio y URL permanentes. El problema reside en la forma en la que REST API administra el acceso, esto lo hace favoreciendo valores de GET y POST en vez de los valores existentes. Cualquier petición con letras en sus ID traspasará la revisión de permisos y esencialmente otorga privilegios de administrador a un atacante.

Los investigadores recomiendan que los administradores de WordPress no deshabiliten las actualizaciones automáticas, y asegurarse que las actualizaciones 4.7.2 y 4.7.3 estén instaladas.

 

Ver información original al respecto en Fuente:

http://www.seguridad.unam.mx/noticia/?noti=3210

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies