Con WordPress 5.0 “Bebo” recién publicado, el siguiente trabajo es parchear las vulnerabilidades que se han acumulado desde que en julio se publicó la última actualización de seguridad y mantenimiento.
Esta semana ha tocado realizar ese trabajo al salir WordPress 5.0.1, que tiene backports de seguridad hasta la versión 3.7, salvo para unos pequeños casos de problemas de compatibilidad documentados.
Los números no suenan tan mal (solo hay 7 vulnerabilidades que necesitan solución), pero incluyen algunas muy significantes que merecen más atención.
Unserialization PHP
El que ha recibido más publicidad de todos probablemente es el que reveló el investigador de Secarma, Sam Thomas en la conferencia Black Hat de agosto, que descubrió una forma maliciosa de crear inputs en la función unserialization de PHP.
Serialisation implica coger un objeto y convertirlo a texto plano, el problema surge cuando se convierte a un objeto que se ha creado maliciosamente.
Se trata de un tipo de vulnerabilidad que los investigadores están investigando en otras aplicaciones. En el contexto de WordPress, Thomas dijo: »Anteriormente a 5.0.1, WordPress no requería que los archivos subidos pasaran un tipo de verificación MIME, por lo que se podían subir ficheros incluso si el contenido no coincidía con la extensión del fichero. Por ejemplo, un fichero binario podía ser subido con una extensión .jpg».
El nombre del investigador Tim Cohen aparece en tres vulnerabilidades, comenzando con una vulnerabilidad cross-site scripting (XSS) que descubrió con Slavco Mihajloski que permitiría a un atacante saltarse la verificación MIME subiendo ficheros fabricados específicamente a sitios alojados en servidores Apache.
Las otras dos, que también están relacionadas con XSS, están relacionadas con una manera en la forma de editar los comentarios por parte de usuarios con privilegios altos y una forma de URL creados especialmente que pueden generar un XSS en algunos plugins y en algunos casos.
Otro que destaca como algo insólito es la nueva vulnerabilidad de Yoast que puede, en circunstancias especiales, permitir a un atacante acceder a la pantalla de activación de nuevos usuarios mostrando direcciones de correo electrónico y contraseñas usando una búsqueda en Google (no confundirse con la reciente vulnerabilidad de Yoast).
Simon Scannell de la empresa de seguridad PHP RIPS Technologies (quienes recientemente descubrieron una vulnerabilidad en WooCommerce) descubrió que los autores pueden crear entradas de tipos no autorizados introduciendo un contenido especialmente creado.
Una segunda de RIPS, esta vez acreditada a Karim El Ouerghemmi, mostraba como autores podían eliminar ficheros que no estaban autorizados a eliminar.
A no ser que tu web se actualice automáticamente, puedes actualizarla en Escritorio > Actualizaciones > Actualiza Ya.
Aplica el mismo proceso si estás ejecutando versiones más antiguas, si se trata de una versión cercana a la 3.7 puede que sea un buen momento para actualizarse o puede que te quedes fuera del desarrollo de WordPress.
Por supuesto, ninguna actualización te protegerá si tus contraseñas son realmente malas. La semana pasada se descubrió un ataque basado en aprovecharse de unas pocas contraseñas débiles. Ya había comprometido a unos 20.000 sitios WordPress añadiéndolos a una botnet gigante CMS.