Casi 1.000.000 webs realizadas con WordPress están en peligro por una vulnerabilidad grave

WordPress es el sistema gestor de contenidos (CMS) con el que están realizadas el 43% de las webs

A pesar de que la solución está disponible desde hace dos semanas, cientos de miles de administradores aún no han actualizado sus webs y las mantienen expuestas a que un atacante pueda hacerse con el control y acceder a información sensible en sus bases de datos

A comienzos de este mes, el investigador de seguridad de Automattic Marc Montpas descubría un grave fallo de seguridad en uno de los “plug-in” o complementos más populares del sistema gestor de contenidos WordPress, con el que están construidas el 43% de las webs de Internet. All in one SEO, presente en unas tres millones de webs y que añade funcionalidades que facilitan las tareas de posicionamiento web, contaba con dos fallos de seguridad que permiten hacerse con el control de una web con facilidad y el acceso a la base de datos con usuarios y contraseñas. Son las vulnerabilidades CVE-2021-25036 y CVE-2021-25037.

Tras el descubrimiento de Montpas, el desarrollador del complemento All in one SEO publicó rápidamente una nueva versión de su herramienta (4.1.5.3) con las dos vulnerabilidades parcheadas, de forma que el uso del “plug in” volvía a ser seguro siempre y cuando los administradores de las webs lo actualizaran. Y aquí ha venido el problema.

Según informa BleepingComputer, en las dos semanas que la actualización lleva disponible ha sido aplicada por algo más de dos millones de administradores web, lo que deja aún tal y como estaban a unas 820.000 páginas web. Son casos en los que no están activadas las actualizaciones automáticas en WordPress y debe ser el administrador quien las aplique manualmente.

La vulnerabilidad CVE-2021-25036 es un fallo crítico que permite a un usuario con el rol de Suscriptor (un usuario que solo puede escribir comentarios en las publicaciones y editar su perfil) escalar sus privilegios hasta el rol de Administrador, lo que confiere un control total sobre la web. CVE-2021-25037, por su parte, depende de la anterior. Un usuario que haya elevado sus privilegios puede realizar una inyección de código SQL que comprometa la seguridad de la web.

Montpas ha declarado que aprovecharse de estas vulnerabilidades es fácil y que todo lo que tiene que hacer un atacante es “cambiar una sola letra a mayúscula” para saltarse las comprobaciones de privilegios con CVE-2021-25036.