Millones de sitios de WordPress recibieron una actualización forzada el último día para corregir una vulnerabilidad crítica en un complemento llamado UpdraftPlus.

El parche obligatorio se produjo a pedido de los desarrolladores de UpdraftPlus debido a la gravedad de la vulnerabilidad, que permite a los suscriptores, clientes y otras personas que no son de confianza descargar la base de datos privada del sitio web siempre que tengan una cuenta en el sitio web vulnerable. Las bases de datos a menudo incluyen información confidencial sobre los clientes o la configuración de seguridad del sitio web, lo que deja a millones de sitios web susceptibles a violaciones de datos graves que liberan contraseñas, nombres de usuario, direcciones IP y más.

Malos resultados, fácil de explotar

UpdraftPlus simplifica el proceso de copia de seguridad y restauración de bases de datos de sitios web y es el complemento de copia de seguridad programada más utilizado en Internet para el sistema de administración de contenido de WordPress. Simplifica la copia de seguridad de datos en Dropbox, Google Drive, Amazon S3 y otros servicios en la nube. Sus desarrolladores dicen que también permite a los usuarios programar copias de seguridad periódicas y es más rápido y utiliza menos recursos del servidor que los complementos de WordPress de la competencia.

“Este error es muy fácil de explotar, con muy malos resultados si se explota”, dijo Marc Montpas, el investigador de seguridad que descubrió la vulnerabilidad y la informó en privado a los desarrolladores del complemento. “Esto hizo posible que los usuarios con pocos privilegios descargaran copias de seguridad de un sitio web, que incluyen copias de seguridad de bases de datos sin procesar. Las cuentas de privilegio bajo pueden significar muchas cosas. Suscriptores habituales, clientes (en sitios de comercio electrónico, por ejemplo), etc.

Montpas, investigador de la empresa de seguridad web Verificación de mochila propulsora, dijo que encontró la vulnerabilidad durante una auditoría de seguridad del complemento y proporcionó detalles a los desarrolladores de UpdraftPlus el martes. Un día después, los desarrolladores publicaron una solución y acordaron forzar la instalación en los sitios de WordPress que tenían instalado el complemento.

Estadísticas proporcionadas por WordPress.org exposición que 1,7 millones de sitios recibieron la actualización hasta el jueves y más de 287.000 la han instalado hasta la fecha. WordPress dice que el complemento tiene más de 3 millones de usuarios.

Al revelar la vulnerabilidad el jueves, UpdraftPlus escribí:

Este defecto permite que cualquier usuario que haya iniciado sesión en una instalación de WordPress con UpdraftPlus activo ejerza el privilegio de descargar una copia de seguridad existente, un privilegio que debe estar restringido solo a usuarios administrativos. Esto fue posible debido a la falta de verificación de permisos en el código relacionado con la verificación del estado actual de la copia de seguridad. Esto permitió obtener un identificador interno desconocido que luego podría usarse para pasar una verificación de permiso de descarga.

Esto significa que si su sitio de WordPress permite que los usuarios que no son de confianza tengan un inicio de sesión de WordPress y si tiene copias de seguridad existentes, es potencialmente vulnerable a que un usuario con conocimientos técnicos descubra cómo descargar la copia de seguridad existente. Los sitios web afectados corren el riesgo de pérdida/robo de datos si el atacante accede a una copia de seguridad de su sitio web si este contiene algo que no es público. Digo «técnicamente hábil» porque, en este momento, no se ha realizado ninguna prueba pública de cómo aprovechar esta vulnerabilidad. En este momento, depende de un pirata informático para realizar ingeniería inversa de los cambios en la última versión de UpdraftPlus para resolver esto. Sin embargo, ciertamente no debe confiar en que lleva demasiado tiempo, pero debe actualizar de inmediato. Si usted es el único usuario en su sitio de WordPress, o si todos sus usuarios son de confianza, entonces no es vulnerable, pero le recomendamos que actualice en cualquier caso.