Una falla CSRF (falsificación de solicitud entre sitios), que reside en la sección de comentarios de WordPress, la cual está habilitada de forma predeterminada, afecta a todas las versiones del popular gestor CMS anteriores a la versión 5.1.1.
WordPress es utilizado por más del 33% de todos los sitios web en línea, sabiendo que los comentarios es una característica de los blogs la cual está habilitada de forma predeterminada, la vulnerabilidad podría afectar a millones de sitios actualmente.
La explotación de la falla permite que incluso un atacante remoto no autenticado comprometa un sitio web y ejecute el código de forma remota en él. El ataque se basa en múltiples fallas, entre las más destacables están:
No existe validación CSRF cuando un usuario publica un nuevo comentario. Esto se debe a que algunas características de WordPress, como trackbacks y pingbacks, se romperían si hubiera alguna validación. Esto significa que un atacante puede crear comentarios en nombre de los usuarios administradores de un blog de WordPress a través de ataques CSRF.
El problema anterior puede convertirse en un problema de seguridad ya que los administradores de un blog de WordPress pueden usar etiquetas HTML arbitrarias en los comentarios, incluso etiquetas script.
La interfaz (frontend) no está protegida por el encabezado de Opciones de X-Frame por WordPress. Por este motivo, el comentario se puede mostrar de forma oculta en el sitio web del atacante. Dado que el atributo inyectado es un evento de tipo on_mouse_over, el atacante puede hacer que el iframe siga al mouse de la víctima para activar instantáneamente el payload XSS. De esta manera, el atacante podría ejecutar un código JavaScript arbitrario con la sesión del administrador que activó la vulnerabilidad CSRF en el sitio web de destino. El JavaScript se ejecuta en segundo plano sin que el administrador de la víctima lo note.
Si por alguna razón has deshabilitado las actualizaciones automáticas de WordPress, se recomienda instalar la versión 5.1.1 o deshabilitar temporalmente los comentarios y cerrar sesión de administrador hasta que se instale el parche de seguridad.
REFERENCIA
https://blog.ripstech.com/2019/wordpress-csrf-to-rce/
La interfaz (frontend) no está protegida por el encabezado de Opciones de X-Frame por WordPress. Por este motivo, el comentario se puede mostrar de forma oculta en el sitio web del atacante. Dado que el atributo inyectado es un evento de tipo on_mouse_over, el atacante puede hacer que el iframe siga al mouse de la víctima para activar instantáneamente el payload XSS. De esta manera, el atacante podría ejecutar un código JavaScript arbitrario con la sesión del administrador que activó la vulnerabilidad CSRF en el sitio web de destino. El JavaScript se ejecuta en segundo plano sin que el administrador de la víctima lo note.
Si por alguna razón has deshabilitado las actualizaciones automáticas de WordPress, se recomienda instalar la versión 5.1.1 o deshabilitar temporalmente los comentarios y cerrar sesión de administrador hasta que se instale el parche de seguridad.
REFERENCIA
https://blog.ripstech.com/2019/wordpress-csrf-to-rce/
COMENTARIOS