Los reportes sobre vulnerabilidades en plugins de WordPress se han vuelto algo cotidiano y, si bien la mayoría de estas fallas son detectadas a tiempo, este no es el único factor clave para evitar su explotación. Una firma de ciberseguridad ha reportado el hallazgo de una nueva falla en Contact Form 7, un popular plugin para la creación de múltiples formularios. De ser explotada, esta vulnerabilidad permitiría a los acores de amenazas realizar una escalada de privilegios en el sitio vulnerable.
Un hacker que logre explotar la vulnerabilidad podría realizar diversas actividades maliciosas, como la modificación del contenido, redirección de los visitantes a sitios desconocidos, robo de información e incluso podría tomar control total del sitio objetivo y bloquear el acceso al administrador legítimo. Por si fuera poco, Google podría detectar esta conducta anómala y bloquear el sitio de forma arbitraria, complicando el proceso de recuperación.
Sobre la vulnerabilidad
El contenido de Contact Form 7 se almacena en una carpeta llamada wp-content en cada sitio de WordPress; esta carpeta contiene datos relacionados al contenido del sitio, pero no almacena información confidencial. Acorde a los especialistas en ciberseguridad, si un hacker logra acceder a los archivos fuera de esta carpeta, el usuario objetivo se enfrenta a múltiples problemas de seguridad debido al carácter confidencial de su contenido.
Se supone que solo los administradores de sitios pueden modificar el contenido de las formas creadas con Contact Form 7, función controlada por un parámetro llamado capability_type, que define los permisos de usuario. Una falla de seguridad en este parámetro permite a cualquier usuario, sin importar su nivel de privilegios, realizar cambios en los formularios.
Un segundo escenario de ataque puede ser desencadenado modificando el tipo de archivos aceptados en un formulario de Contact Form 7. Algunos formularios solicitan a los usuarios cargar archivos en diversos formatos (PDF, JPG, GIF, entre otros); al explotar la vulnerabilidad, un actor de amenazas podría alterar la configuración del plugin para poder cargar ejecutables (PHP, ASP y demás) al sitio objetivo y desplegar otras variantes de ataque, mencionan los especialistas en ciberseguridad.
El reporte fue enviado a los desarrolladores del plugin, quienes corrigieron la falla con el lanzamiento de la versión 5.0.4. El Instituto Internacional de Seguridad Cibernética (IICS) recomienda encarecidamente a los administradores de implementaciones vulnerables actualizar a la más reciente versión a la brevedad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
