Plugin de WordPress sin actualizar afecta a mas de 50000 sitios webs (Contact Form 7)
Un error de seguridad de CRSF a XSS almacenado afecta a mas de 50.000 usuarios del estilo «Formulario de contacto 7».
Un error de seguridad en Contact Form 7 Style, un complemento de WordPress instalado en más de 50.000 sitios, podría permitir la inyección maliciosa de JavaScript en un sitio web de la víctima.
La última vulnerabilidad de seguridad del complemento de WordPress es una falsificación de solicitud entre sitios (CSRF) a un problema de scripts entre sitios almacenados (XSS) en Contact Form 7 Style, que es un complemento del conocido complemento general Contact Form 7.
Ocupa un 8,8 sobre 10 en la escala de vulnerabilidad-gravedad de CVSS (CVE está pendiente). CSRF permite que un atacante induzca a un usuario víctima a realizar acciones que no es su intención. XSS permite a un atacante ejecutar JavaScript arbitrario dentro del navegador de un usuario víctima. Este error conecta los dos enfoques.
Los investigadores de Wordfence dijeron que aún no hay ningún parche disponible y que las versiones 3.1.9 y anteriores se ven afectadas. WordPress eliminó el complemento del repositorio de complementos de WordPress el 1 de febrero.
Formulario de contacto vulnerable 7 estilo Contact Form 7 se utiliza para crear, como su nombre indica, formularios de contacto utilizados por sitios web. El estilo vulnerable Contact Form 7 es un complemento que se puede utilizar para agregar detalles adicionales a los formularios que se crean con Contact Form 7. Para ello, permite a los usuarios personalizar el código de hojas de estilo en cascada (CSS) de un sitio, que se utiliza para dictar la apariencia de los sitios web basados en WordPress. Aquí es donde radica la vulnerabilidad, según los investigadores de Wordfence. «Debido a la falta de desinfección y la falta de protección nonce en esta función, un atacante podría crear una solicitud para inyectar JavaScript malicioso en un sitio usando el complemento», explicaron, en una publicación de esta semana, agregando que se retendrán más detalles. para dar a los propietarios del sitio la oportunidad de abordar el problema. «Si un atacante engañaba con éxito al administrador de un sitio para que hiciera clic en un enlace o archivo adjunto, entonces la solicitud podría enviarse y la configuración de CSS se actualizaría correctamente para incluir JavaScript malicioso».
Dado que la cantidad de instancias instaladas para el complemento es tan alta, debido a la cantidad de sitios afectados por el cierre de este complemento, proporcionamos intencionalmente detalles mínimos sobre esta vulnerabilidad para brindar a los usuarios tiempo suficiente para encontrar una solución alternativa.
Es posible que proporcionemos detalles adicionales más adelante a medida que continuamos monitoreando la situación. Para explotar la falla, los ciberataques tendrían que convencer a un administrador que haya iniciado sesión para que haga clic en un enlace malicioso, lo que se puede hacer a través de cualquiera de los enfoques comunes de ingeniería social (es decir, a través de un correo electrónico fraudulento o mensaje instantáneo).
Wordfence notificó al desarrollador del complemento sobre el error a principios de diciembre; Después de no recibir respuesta, los investigadores elevaron el problema al equipo de complementos de WordPress a principios de enero. El equipo de complementos de WordPress también se puso en contacto con el desarrollador sin respuesta, lo que llevó a la divulgación esta semana.
Cómo protegerse contra la inyección maliciosa de JavaScript Debido a que, al igual que con todas las vulnerabilidades de CSRF, el error solo se puede aprovechar si un usuario administrador realiza una acción mientras está autenticado en el sitio vulnerable de WordPress, los administradores siempre deben tener cuidado al hacer clic en cualquier enlace. «Si cree que debe hacer clic en un enlace, le recomendamos que utilice ventanas de incógnito cuando no esté seguro acerca de un enlace o archivo adjunto», según Wordfence. «Esta precaución puede proteger su sitio de ser explotado con éxito por esta vulnerabilidad junto con todas las demás vulnerabilidades de CSRF».
En este caso, los usuarios también deben desactivar y eliminar el complemento Contact Form 7 Style y buscar un reemplazo, agregaron los investigadores, ya que parece que no habrá ningún parche.