Hoy se reveló que el popular formulario de contacto de WordPress llamado Ninja Forms corrigió dos vulnerabilidades, que afectan a más de 1 millón de instalaciones de WordPress. Esto representa otro en una lista creciente de vulnerabilidades relacionadas con la API REST que se están descubriendo entre muchos complementos de WordPress.
Debe reiterarse que no hay nada de malo con la API REST de WordPress en sí. Los problemas se originan en cómo los complementos de WordPress diseñan sus interacciones con la API REST.
API REST de WordPress
La API REST de WordPress es una interfaz que permite que los complementos interactúen con el núcleo de WordPress. La API REST permite que los complementos, temas y otras aplicaciones manipulen el contenido de WordPress y creen funcionalidades interactivas.
Anuncio publicitario
Continuar leyendo a continuación
Esta tecnología amplía lo que puede hacer el núcleo de WordPress.
El núcleo de WordPress recibe datos a través de la interfaz API REST de los complementos para lograr estas nuevas experiencias.
Sin embargo, como cualquier otra interacción que permite cargar o ingresar datos, es importante “desinfectar” lo que se ingresa y quién puede hacerlo, para asegurarse de que los datos sean los esperados y diseñados para recibir.
No desinfectar las entradas y restringir quién puede ingresar los datos puede generar vulnerabilidades.
Y eso es exactamente lo que pasó aquí.
Vulnerabilidad de devolución de llamada de permisos
Las dos vulnerabilidades fueron el resultado de un solo problema de validación de la API REST, específicamente en las devoluciones de llamada de permisos.
Anuncio publicitario
Continuar leyendo a continuación
La devolución de llamada de permisos es parte del proceso de autenticación que restringe el entrada a los puntos finales de la API REST a los usuarios autorizados.
La documentación oficial de WordPress describe un punto final como una función:
“Los puntos finales son funciones disponibles a través de la API. Pueden ser cosas como recuperar el índice de la API, actualizar una publicación o eliminar un comentario. Los puntos finales realizan una función específica, toman una serie de parámetros y devuelven datos al cliente «.
De acuerdo con la Documentación de la API REST de WordPress:
“Las devoluciones de llamada de permisos son extremadamente importantes para la seguridad con la API REST de WordPress.
Si tiene datos privados que no deberían mostrarse públicamente, entonces necesita tener permisos de devolución de llamada registrados para sus puntos finales «.
Dos vulnerabilidades de WordPress Ninja Forms
Había dos vulnerabilidades que estaban relacionadas con un error de devolución de llamada de permisos en la implementación.
No hay nada de malo con la API REST de WordPress en sí, pero la forma en que los creadores de complementos la implementan puede generar problemas.
Estas son las dos vulnerabilidades:
- Divulgación de información confidencial
- REST-API sin protección para inyección de correo electrónico
Vulnerabilidad de divulgación de información confidencial
La vulnerabilidad de divulgación de información confidencial permitió que cualquier usuario registrado, incluso un suscriptor, exportara todos los formularios que se habían enviado al sitio web. Eso incluye toda la información confidencial que alguien pueda haber enviado.
Anuncio publicitario
Continuar leyendo a continuación
Ninja Forms tenía una devolución de llamada de permisos que verificaba si un usuario estaba registrado, pero no verificaba si el usuario tenía un nivel de permiso adecuado para ejecutar una exportación masiva de todos los formularios enviados a través del complemento Ninja Forms de WordPress.
Esa falta de verificación del nivel de permiso del usuario es lo que permitió a cualquier usuario registrado, incluido un suscriptor del sitio web, ejecutar una exportación masiva de todos los formularios enviados.
La REST-API sin protección para la inyección de correo electrónico
Esta vulnerabilidad se debió a la misma devolución de llamada de permisos defectuosos que no pudo verificar el nivel de permiso del atacante registrado. La vulnerabilidad aprovechó una funcionalidad de Ninja Forms que permite a los editores de sitios web enviar notificaciones masivas por correo electrónico o confirmaciones por correo electrónico en respuesta a los envíos de formularios.
Anuncio publicitario
Continuar leyendo a continuación
La vulnerabilidad de inyección de correo electrónico permitió a un atacante utilizar esta funcionalidad específica de Ninja Forms para enviar correos electrónicos desde el sitio web vulnerable a cualquier dirección de correo electrónico.
Esta vulnerabilidad en particular tenía la posibilidad de lanzar una adquisición completa del sitio o una campaña de phishing contra los clientes de un sitio web.
Según los investigadores de seguridad de Wordfence que descubrieron la vulnerabilidad:
“Esta vulnerabilidad podría usarse fácilmente para crear una campaña de phishing que podría engañar a los usuarios desprevenidos para que realicen acciones no deseadas al abusar de la confianza en el dominio que se utilizó para enviar el correo electrónico.
Además, se podría utilizar un ataque de spear phishing más dirigido para engañar al propietario de un sitio haciéndole creer que un correo electrónico proviene de su propio sitio.
Esto podría usarse para engañar a un administrador para que ingrese su contraseña en una página de inicio de sesión falsa, o permitir que un atacante aproveche una segunda vulnerabilidad que requiere ingeniería social, como la falsificación de solicitudes entre sitios o secuencias de comandos entre sitios, que podrían usarse para la adquisición del sitio «.
Anuncio publicitario
Continuar leyendo a continuación
Se recomienda actualización inmediata a Ninja Forms
Los investigadores de seguridad de Wordfence recomiendan que los usuarios del complemento WordPress Ninja Forms actualicen su complemento de inmediato.
La vulnerabilidad se clasifica como un peligro de nivel medio, con una puntuación de 6,5 en una escala del 1 al 10.
Citas
Lea el anuncio de Wordfence:
Consultar el artículo en la publicación original
