• Skip to primary navigation
  • Skip to content
  • Skip to primary sidebar
  • Skip to footer

Sucuri Español

Noticias de Seguridad de Sitios Web

Main navigation

  • Productos
    • Plataforma de Seguridad de Sitios Web
    • Firewall para Aplicaciones Web
    • Seguridad de Sitios Web Empresarial
    • Solución de Seguridad para Múltiples Sitios Web
  • Funciones
    • Detección
    • Protección
    • Optimización
    • Respuesta
    • Copias de Seguridad
  • Socios
    • Soluciones para Agencias
    • Socios
    • Ecommerce
  • Recursos
    • Guías
    • Webinars
    • Infografías
    • SiteCheck
  • Ayuda Rápida
  • Login
  • Languages
    • Inglés
    • Español
    • Portugués

Vulnerabilidad de Inyección SQL en WP Statistics

June 30, 2017John Castro1 ComentarioEnglishPortugues

Riesgo de Seguridad: Peligroso

Nivel de Explotación: Fácil/Remoto

DREAD Score: 7/10

Vulnerabilidad: Inyección SQL

Versión Parcheada: 12.0.8

12
COMPARTIDOS
CompartirTweetInscríbase

Como parte de nuestro proyecto de investigación de vulnerabilidades para el Firewall Sucuri, hemos estado auditando proyectos de código abierto populares en busca de problemas de seguridad.

Mientras estábamos trabajando en el plugin para WordPress, WP Statistics, descubrimos una vulnerabilidad de inyección SQL. Este plugin está instalado en más de 300,000 sitios web.

¿Estás en Riesgo?

Esta vulnerabilidad es causada por la falta de sanitización a los datos provistos por el usuario. Un atacante con al menos una cuenta de suscriptor podría divulgar información sensible, y bajo las circunstancias/configuraciones adecuadas, podría comprometer la instalación de WordPress.

Si tienes una versión vulnerable instalada y tu sitio web permite el registro de usuarios, definitivamente estás en riesgo.

Detalles Técnicos

WordPress provee un API que le permite a los desarrolladores crear contenido que los usuarios pueden inyectar en ciertas páginas usando un simple shortcode:

 [shortcode atts_1=”test” atts_2=”test”]

Entre otras funcionalidades, WP Statistics le permite a los administradores obtener información detallada sobre el número de visitantes, simplemente llamando el shortcode que se muestra abajo:

The shortcode that allows admins to obtain detailed stat information.
El shortcode de WP Statistics que le permite a los administradores obtener información detallada sobre las visitas.

Como puedes ver en la imagen anterior, algunos atributos del shortcode wpstatistics están siendo usados como parámetros de funciones importantes, y este no es un problema si esos parámetros son sanitizados, pero como veremos, este no es el caso.

Una de las funciones vulnerables, wp_statistics_searchengine_query(), en el archivo “includes/functions/functions.php”, es accedida a través de la funcionalidad de AJAX de WordPress, gracias a la función núcleo wp_ajax_parse_media_shortcode().

Esta función no verifica por privilegios adicionales, permitiéndole a un suscriptor ejecutar este shortcode e inyectar datos maliciosos en sus atributos. (Este vector de ataque también fue descrito aquí).

En un número de lugares en el código, los datos ingresados por el usuario en los atributos del shortcode wpstatistics son incluidos en consultas SQL sin ser sanitizados. Abajo está una de las consultas que es explotable:

Shortcode parameters aren't properly sanitized in the WP statistics shortcode.
Los parámetros del Shortcode no son limpiados apropiadamente en el plugin WP Statistics.

La función wp_statistics_searchengine_query() básicamente regresa el mismo valor que se pasó en el atributo provider del shortcode, y su contenido es agregado directamente en la consulta SQL.

Actualiza lo Antes Posible

¡Si estás usando una versión vulnerable de este plugin, actualiza lo antes posible!

En el evento que no puedas actualizar, te recomendamos utilizar el Firewall Sucuri o una tecnología equivalente para parchear la vulnerabilidad de manera virtual.

12
COMPARTIDOS
CompartirTweetInscríbase

Categorías: Divulgación de Vulnerabilidad, Seguridad de WordPressTags: Inyección SQL, Plugins de WordPress

Sobre John Castro

John es un Analista de Seguridad en nuestro Grupo de Operaciones de Seguridad, y también es un adicto a Python. Tiene intereses en seguridad de la red, inversión y CTF’s. Puedes seguirlo en Twitter @mirphak

Reader Interactions

Comments

  1. Leo

    July 4, 2017

    Tengo un sitio y cada dia aparece en el login cambiado “INDOXPLOIT” como lo puedo solucionar?

    Reply

Share Your Comments: Cancel reply

Primary Sidebar

Relaciónate con Sucuri

Conéctate con el equipo de Sucuri vía redes sociales
  • Facebook
  • Twitter
  • LinkedIn
  • YouTube
  • Instagram
  • RSS Feed

Ayuda rápida

Únete a Más de 20.000 Suscriptores!

Footer

Productos

  • Firewall de Sitios Web
  • Antivírus de Sitios Web
  • Copias de Seguridad de Sitios Web
  • Seguridad de WordPress
  • Servicios Enterprise

Soluciones

  • Protección contra DDoS
  • Detección de Malware
  • Remoción de Malware
  • Prevención de Malware
  • Remoción de Listas Negras

Soporte

  • Blog
  • Base de Conocimientos
  • SiteCheck
  • Labs
  • FAQ

Empresa

  • Sobre
  • Medios de Comunicanión
  • Eventos
  • Empleo
  • Contactos
  • Testimonios
  • Facebook
  • Twitter
  • LinkedIn
  • Instagram

Login para Clientes

Sucuri Home

  • Termos de Uso
  • Política de Privacidade
  • Perguntas Mais Frequentes
© 2018 Sucuri Inc. Todos os direitos reservados.