Aikido

Vulnerabilidad de ejecución remota de código sin autenticación en el núcleo de WordPress (wp2shell)

Escrito por
Dania Durnas

Las inyecciones SQL siguen entre nosotros. El 17 de julio, WordPress publicó una actualización de seguridad de emergencia. La versión 7.0.2 corrige una vulnerabilidad de ejecución remota de código sin autenticación en el núcleo de WordPress que un atacante anónimo puede aprovechar en una instalación predeterminada sin plugins. Si tu sitio web utiliza una versión afectada, actualízala hoy mismo. WordPress.org ha activado las actualizaciones automáticas obligatorias para los sitios afectados debido a la gravedad del problema. Estamos realizando un seguimiento de esta vulnerabilidad en Aikido Intel.

Adam Kues, de Searchlight Cyber, informó de la vulnerabilidad y He publicado una herramienta de comprobación en wp2shell.com para que puedas comprobar si tu sitio web está expuesto. (Aunque el sitio ha estado fuera de línea de vez en cuando). El propio aviso del núcleo de WordPress lo describe como un problema de confusión entre rutas de la API REST y de inyección SQL que da lugar a la ejecución remota de código, con el punto final de lotes en /wp-json/batch/v1 como punto de entrada. Searchlight calcula que más de 500 millones de sitios web utilizan WordPress, por lo que el número de usuarios expuestos es elevado.

Lo más importante es contar con la versión correcta. Si utilizas Aikido Zen, su cortafuegos integrado está diseñado para bloquear la inyección SQL en la que se basa esta vulnerabilidad, por lo que un sitio sin parches mantiene una defensa en tiempo de ejecución mientras se implementa la actualización.

Versiones afectadas

La vulnerabilidad que permite la ejecución remota de código afecta a:

  • WordPress 6.9.0 a 6.9.4, solucionado en la versión 6.9.5
  • WordPress 7.0.0 a 7.0.1, solucionado en la versión 7.0.2
  • WordPress 7.1 beta, corregido en la versión 7.1 beta2

Cualquier versión anterior a la 6.9.0 no es vulnerable a la vulnerabilidad de ejecución remota de código (RCE). WordPress 6.8 está expuesto a un problema independiente de inyección SQL que se ha corregido en la misma ronda de actualizaciones, por lo que los sitios que utilicen la versión 6.8 deberían actualizar a la 6.8.6. Las versiones anteriores a la 6.8 no se ven afectadas por ninguno de estos problemas.

¿Qué hacer ahora?

Actualiza WordPress cuanto antes. La versión 7.0.2 incluye la corrección, o la 6.9.5 si utilizas la rama 6.9. La mayoría de los sitios web que tienen activadas las actualizaciones en segundo plano la recibirán automáticamente, aunque es mejor que compruebes la versión en tu panel de control en lugar de dar nada por sentado.

Si no puedes actualizar de inmediato, en la nota informativa se enumeran algunas medidas provisionales. Puedes instalar un complemento que bloquee el acceso sin autenticar a la API REST, bloquear tanto la ruta /wp-json/batch/v1 y el parámetro de consulta rest_route=/batch/v1 en tu WAF, o añade un pequeño complemento de uso obligatorio que requiera autenticación en la ruta REST por lotes. Cualquiera de estas opciones puede interferir con el tráfico legítimo de la API REST, así que utilízalas como solución provisional hasta que apliques el parche.

Esta vulnerabilidad se supervisa en Aikido Intel, nuestro servicio de información en tiempo real que detecta nuevas vulnerabilidades y programas maliciosos en los ecosistemas de código abierto.

protección en tiempo de ejecución Aikido Zen

Este es el segundo problema de inyección SQL que se detecta en una misma versión del núcleo de WordPress. Los desarrolladores llevan años afirmando que la inyección SQL es un problema resuelto, pero sigue acechándonos. Sigue apareciendo en el software del núcleo y en sus dependencias, y a menudo los usuarios anónimos pueden acceder a ella antes de que se publique una corrección.

Aikido Zen es un cortafuegos integrado que se ejecuta dentro de tu aplicación e inspecciona los datos introducidos por el usuario a medida que se envían a tu base de datos. Bloquea la inyección SQL, la inyección de comandos y el recorrido de rutas en tiempo de ejecución, y se instala con unas pocas líneas de código. Zen está diseñado para detectar este tipo de ataques —la inyección SQL provocada por datos introducidos y controlados por el atacante— mientras se ejecuta la solicitud. Para los equipos que no pueden aplicar parches en el momento en que surge una vulnerabilidad de día cero, esa capa de tiempo de ejecución mantiene la defensa mientras se implementa la corrección según su propio calendario.

Aplica primero el parche. Ejecuta Zen, para que la próxima inyección no autenticada tenga dónde detenerse.

Seguimiento de vulnerabilidades con Aikido Intel

Este fallo se supervisa en Aikido Intel junto con el resto de problemas del núcleo de WordPress solucionados en la misma versión. Intel es un servicio de noticias en tiempo real que recopila las nuevas versiones de los ecosistemas de código abierto a medida que se publican —incluido WordPress— y detecta vulnerabilidades y malware en cuestión de minutos, a menudo antes de que lleguen a las bases de datos públicas de CVE.

Si ya utilizas Intel, los avisos de WordPress ya están en tu feed, por lo que puedes seguir este y cualquier otro que se publique sin tener que estar pendiente de una docena de fuentes. El feed es de acceso libre y gratuito en intel.aikido.dev, y está disponible bajo una licencia de código abierto y a través de una API comercial si deseas incorporar los datos a tus propias herramientas.

Compartir:

https://www.aikido.dev/blog/unauthenticated-rce-in-wordpress-wp2shell

Escanear en busca de malware

Empieza gratis
4.7/5
¿Cansado de los falsos positivos?

Prueba Aikido como otros 100k.
Empiece ahora
Obtenga un recorrido personalizado

Con la confianza de más de 100k equipos

Reservar ahora
Escanee su aplicación en busca de IDORs y rutas de ataque reales

Con la confianza de más de 100k equipos

Empezar a escanear
Vea cómo el pentesting de IA prueba su aplicación

Con la confianza de más de 100k equipos

Empezar a probar

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.