Vulnerabilidad XSS en complemento de plugin de WordPress

Una vulnerabilidad de scripts de sitios cruzados (XSS) autenticada podría permitir a los atacantes crear administradores deshonestos en sitios de WordPress utilizando el complemento Contact Form 7 Datepicker

Se recomienda a los administradores de sitios de WordPress que utilicen el complemento Contact Form 7 Datepicker que lo eliminen o desactiven para evitar que los atacantes exploten una vulnerabilidad almacenada de scripts entre sitios (XSS) para crear administradores deshonestos o hacerse cargo de las sesiones de administración.

El Form Contact Form 7 Datepicker ‘es un software de código abierto que permite agregar un campo de fecha a la interfaz de usuario del complemento Contact Form 7 WordPress, que es un complemento de administración de formularios de contacto utilizado actualmente en más de 5 millones de sitios web. El complemento se instaló en más de 100k sitios de WordPress utilizando el complemento Contact Form 7 Datepicker. La falla fue descubierta por investigadores del equipo de Wordfence Threat Intelligence.

«El 1 de abril de 2020, el equipo de Wordfence Threat Intelligence descubrió una vulnerabilidad almacenada de Cross Site Scripting (XSS) en Contact Form 7 Datepicker, un complemento de WordPress instalado en más de 100,000 sitios». informó el análisis publicado por WordFence. «Como la página github del desarrollador del complemento indicó que el complemento ya no se mantenía, contactamos al equipo de complementos de WordPress con nuestra divulgación, e inmediatamente eliminaron el complemento del repositorio para su revisión. «

El complemento se cerró el 1 de abril de 2020 y ya no está disponible para descargar. Sus colaboradores y desarrolladores confirmaron que ya no se mantendrá y se eliminará definitivamente del repositorio de WordPress.

El complemento Contact Form 7 Datepicker permite a los usuarios agregar un selector de fechas a los formularios generados por Contact Form 7. El complemento también permite a los usuarios modificar la configuración de estos datepickers.

“Para procesar esta configuración, registró una acción AJAX que llama a una función que no pudo incluir una verificación de capacidad o una verificación nonce. Como tal, era posible que un atacante conectado con permisos mínimos, como un suscriptor, enviara una solicitud diseñada que contenía JavaScript malicioso que se almacenaría en la configuración del complemento «. continúa el análisis

«La próxima vez que un usuario autorizado cree o modifique un formulario de contacto, el JavaScript almacenado se ejecutará en su navegador, que podría usarse para robar la sesión de un administrador o incluso crear usuarios administrativos maliciosos».

Los administradores de sitios web que usan el complemento defectuoso deben buscar una alternativa para usar en sus sitios web.

Desafortunadamente, el número de ataques que intentan explotar vulnerabilidades en los complementos de WordPress continúa aumentando.

Hace unas semanas, los investigadores de NinTechNet informaron sobre una campaña en curso que explotaba activamente una falla de día cero en los campos de pago flexible de WordPress para el complemento WooCommerce. Otros ataques observados recientemente son:

• Enero de 2020: una vulnerabilidad de omisión de autenticación en el complemento InfiniteWP que podría afectar a más de 300,000 sitios.
• Enero de 2020: más de 200 000 sitios de WordPress están expuestos a ataques debido a un error de falsificación de solicitudes entre sitios (CSRF) de alta gravedad en el complemento de fragmentos de código.
• Febrero de 2020: se puede explotar una falla grave en el plugin de ThemeGrill Demo Importer WordPress con más de 200,000 instalaciones activas para borrar sitios y obtener acceso de administrador al sitio.
• Febrero de 2020: una vulnerabilidad almacenada entre sitios en el complemento GDPR Cookie Consent que podría afectar a 700K usuarios.
• Febrero de 2020: los hackers en la naturaleza explotaron activamente una vulnerabilidad de día cero en los complementos ThemeREX para crear cuentas de usuario con permisos de administrador.
• Marzo de 2020: el complemento de WordPress «Complementos ThemeREX» se ve afectado por una vulnerabilidad crítica que podría permitir a los atacantes remotos ejecutar código arbitrario.
• Marzo de 2020: las fallas en el complemento de WordPress Builder Builder podrían permitir a atacantes no autenticados inyectar código JavaScript malicioso en ventanas emergentes de más de 100K sitios web.
• Marzo de 2010: un defecto crítico de escalada de privilegios en el complemento SEO de WordPress: el complemento Rank Math puede permitir a los usuarios registrados obtener privilegios de administrador.

Creo que es muy importante proteger la instalación de WordPress con soluciones dedicadas, y contar con desarrolladores especializados en ciberseguridad. Si usted necesita asesoramiento no dude en consultarme y le responderé a la brevedad.