Vulnerabilidad de inyección de entidad externa XML en WordPress

Investigadores de la firma de seguridad SonarSource han hecho público un fallo de seguridad de tipo inyección de entidad externa XML (XXE) en WordPress, el cual podría permitir a los atacantes robar de forma remota los archivos de una víctima.

La vulnerabilidad, etiquetada con el identificador CVE-2021-29447, existe debido a una validación insuficiente de la entrada XML proporcionada por el usuario en la biblioteca Media Library. Un usuario remoto autenticado con capacidad para cargar archivos puede pasar un código XML especialmente diseñado a la aplicación afectada y ver el contenido de archivos arbitrarios en el sistema o iniciar solicitudes a sistemas externos.

Impacto

El fallo de seguridad afecta a las versiones de WordPress anteriores a 5.7.1 y puede permitir que atacantes remotos logren:

  • Divulgación arbitraria de archivos: El contenido de cualquier archivo en el sistema de archivos del host podría ser obtenido por el atacante.
  • Falsificación de solicitudes del lado del servidor (SSRF): Las solicitudes HTTP podrían ser realizadas en nombre de la instalación de WordPress. Dependiendo del entorno, esto puede tener un impacto grave.

La vulnerabilidad puede ser aprovechada solo cuando WordPress se ejecuta en PHP 8 y el usuario atacante cuenta con permisos para cargar archivos multimedia. En una instalación estándar de WordPress, esto se traduce en tener privilegios de autor.

Sin embargo, combinado con otra vulnerabilidad o un complemento que permite a los visitantes cargar archivos multimedia, podría explotarse con privilegios más bajos.

Recomendaciones

Referencias