Más de cien mil sitios web basados en el CMS WordPress están afectados por una falla de seguridad en un complemento que ayuda a los sitios web a enviar correos electrónicos y boletines a los suscriptores. La vulnerabilidad está localizada en el plugin Email Subscribers & Newsletters, que permite a los usuarios recopilar potenciales clientes y enviar correos electrónicos automatizados de notificación de nuevas publicaciones de blog. Un atacante remoto no autenticado puede aprovechar la falla para enviar correos electrónicos falsificados a todos los destinatarios de las listas de contactos o suscriptores disponibles, con control total sobre el contenido y el asunto del correo electrónico.
La vulnerabilidad, identificada como CVE-2020-5780, registra un puntaje 7.5 sobre 10 en la escala CVSS, por lo que es de alta gravedad. Afecta a las versiones 4.5.6 y anteriores del complemento Boletines y suscriptores de correo electrónico de WordPress. El problema se debe a una vulnerabilidad de falsificación / suplantación de correo electrónico en la clase class-es-newsletters.php.
“Los usuarios no autenticados pueden enviar una solicitud ajax al gancho admin_init. Esto activa una llamada a la función process_broadcast_submission». dijo a Threatpost Alex Peña, ingeniero de investigación de Tenable.
Al manipular los parámetros de la solicitud, Peña dijo que un atacante podría programar una nueva transmisión para una lista completa de contactos, debido a la falta de un mecanismo de autenticación.
«Un usuario no autenticado no debería ser capaz de crear un mensaje de difusión», dijo al portal de noticias Threatpost.
Se ha descubierto que los complementos de WordPress están plagados de fallas durante el último mes. A principios de agosto, un complemento que está diseñado para agregar cuestionarios y encuestas a los sitios web de WordPress parcheó dos vulnerabilidades críticas. Los atacantes remotos no autenticados podrían aprovechar las fallas para lanzar diversos ataques, incluido el control total de sitios web vulnerables.
Para corregir la falla, los usuarios deben «actualizar al plugin WordPress Email Subscribers & Newsletters a la versión 4.5.6 o superior«, según los investigadores de Tenable, que descubrieron la falla, en un aviso el jueves.
Referencia: