Dos vulnerabilidades críticas que se encuentran en el complemento WordPress de Page Builder instalado en más de 1,000,000 de sitios pueden permitir a los piratas informáticos crear nuevas cuentas de administrador, instalar puertas traseras y, en última instancia, hacerse cargo de los sitios web comprometidos.
Las vulnerabilidades son una falsificación de solicitud de sitios cruzados (CSRF) que conduce a ataques de reflected cross-site scripting (XSS) y afectan a todas las versiones de Page Builder hasta 2.10.15 inclusive.
Los atacantes pueden explotar estos defectos de seguridad engañando al administrador del sitio de WordPress para que haga clic en enlaces o archivos adjuntos especialmente diseñados y ejecute código malicioso en sus navegadores, así como falsificar solicitudes en su nombre.
Page Builder es un complemento popular desarrollado por SiteOrigin para ayudar a los usuarios a crear fácilmente contenido de página de cuadrícula sensible utilizando un editor de creación de página basado en widgets.
El equipo de inteligencia de amenazas de Wordfence calificó las dos vulnerabilidades de Page Builder con severidad alta e informó los problemas a los desarrolladores del complemento el 4 de mayo.
El equipo de desarrollo lanzó un parche para solucionar ambos problemas de seguridad al día siguiente, el 5 de mayo, al agregar nonce checks tanto a la función Live Editor como a la acción builder_content donde se encontraron los dos errores.
Como explican los investigadores, la explotación de los dos errores puede «usarse para redirigir al administrador de un sitio, crear una nueva cuenta de usuario administrativo o, como se ve en la reciente campaña de ataque dirigida a vulnerabilidades XSS, puede usarse para inyectar una puerta trasera en un sitio».
Los atacantes que saben lo que están haciendo también pueden hacerse cargo de los sitios web de WordPress comprometidos una vez que crean cuentas de administrador falsas y plantan puertas traseras para mantener el acceso.
Debido a la gravedad de la vulnerabilidad, se recomienda:
- Actualizar el plugin Page Builder a la última versión 2.10.16
Para mayor información: