Millones de sitios de WordPress recibieron una actualización forzada durante el último día para corregir una vulnerabilidad crítica en un complemento llamado UpdraftPlus.

El parche obligatorio se produjo a pedido de los desarrolladores de UpdraftPlus debido a la gravedad de la vulnerabilidad, lo que permite a los suscriptores, clientes y otras personas que no son de confianza descargar la base de datos del sitio siempre que tengan una cuenta en el sitio comprometido. Las bases de datos a menudo contienen información confidencial sobre los clientes o la configuración de seguridad del sitio, lo que deja a millones de sitios vulnerables a violaciones de datos graves que filtran contraseñas, nombres de usuario, direcciones IP y más.

Malos resultados, fácil de explotar

UpdraftPlus simplifica el proceso de copia de seguridad y restauración de bases de datos de sitios web y es el complemento de programación en línea más utilizado para el sistema de administración de contenido de WordPress. Simplifica la copia de seguridad de datos en Dropbox, Google Drive, Amazon S3 y otros servicios en la nube. Sus desarrolladores también dicen que permite a los usuarios programar copias de seguridad periódicas y es más rápido y utiliza menos recursos del servidor que los complementos de WordPress de la competencia.

“Este error es muy fácil de explotar, con muy malos resultados si se explota”, dijo Mark Monpass, el investigador de seguridad que descubrió la vulnerabilidad e informó a los desarrolladores del complemento. “Esto permitió a los usuarios con pocos privilegios descargar copias de seguridad del sitio, que incluyen copias de seguridad de bases de datos sin procesar. Las cuentas con pocos privilegios pueden significar muchas cosas. Suscriptores regulares, clientes (en sitios de comercio electrónico, por ejemplo), etc.”

Monpass, investigador de la empresa de seguridad de sitios web Escaneo Jetpack, dijo que descubrió la vulnerabilidad durante una auditoría de seguridad del complemento y proporcionó detalles a los desarrolladores de UpdraftPlus el martes. Un día después, los desarrolladores publicaron una solución y acordaron forzar su instalación en los sitios de WordPress que tenían instalado el complemento.

Estadísticas proporcionadas por WordPress.org pantallas 1,7 millones de sitios recibieron la actualización el jueves, y más de 287.000 más la tenían instalada al cierre de esta edición. WordPress dice que el complemento tiene más de 3 millones de usuarios.

Al revelar la vulnerabilidad el jueves, UpdraftPlus Escribió:

Esta falla permite que cualquier usuario que inicie sesión en una instalación de WordPress con un UpdraftPlus activo ejerza el privilegio de descargar una copia de seguridad existente, un privilegio que debe estar restringido solo a usuarios administrativos. Esto fue posible debido a la pérdida de permisos para verificar el código relacionado con la verificación del estado actual de la copia de seguridad. Esto permitió obtener un identificador interno que de otro modo sería desconocido y que luego podría usarse para aprobar una validación en el permiso de descarga.

Esto significa que si su sitio de WordPress permite que usuarios no confiables inicien sesión en WordPress, y si tiene una copia de seguridad existente, es probable que sea vulnerable a que un usuario con conocimientos técnicos descubra cómo descargar su copia de seguridad actual. Los sitios afectados corren el riesgo de pérdida o robo de datos por parte de un atacante que accede a una copia de la copia de seguridad de su sitio, si su sitio contiene algo que no es público. Digo “técnicamente hábil” porque en ese momento, no se ha dado ninguna evidencia general de cómo aprovechar esta hazaña. En este momento, confía en un pirata informático que realiza cambios de ingeniería inversa en la última versión de UpdraftPlus para resolver este problema. Sin embargo, definitivamente no debe confiar en este asunto que consume mucho tiempo, sino actualizar de inmediato. Si usted es el único usuario en su sitio de WordPress, o si todos sus usuarios son de confianza, no está en riesgo, pero le recomendamos que actualice en cualquier caso.