El día 25 de octubre del 2021 ha comenzado la divulgación a cargo de Wordfence acerca de la vulnerabilidad con el identificador CVE-2021-39333 que se encuentra asociada al plugin HashThemes Demo Importer.
Este plugin tiene, entre sus funcionalidades, que un usuario con los privilegios adecuados pueda resetear a valores predeterminados un sitio web por completo.
En la versión 1.1.2 del plugin se presentó la vulnerabilidad misma que permite a un atacante ganar acceso de manera arbitraria y borrar el contenido del sitio sin mayor problema.
El plugin presentaba un fallo al realizar las comprobaciones de permisos para realizar varias acciones AJAX. Si bien, realiza una verificación del nonce, el correspondiente al AJAX es visible en el dashboard para todos los usuarios, incluso para aquellos con privilegios muy bajos (como un suscriptor), esto tiene como una potencial consecuencia que un usuario con una cuenta de suscriptor pueda borrar el contenido del sitio web por completo.
Cualquier usuario autenticado podría provocar la función AJAX «hdi_install_demo» y cambiar el parámetro «reset» a «true», esto desencadenaba la función data_reset del plugin. Esta función borra toda la base de datos del sitio, truncando así toda tabla de la base de datos del sitio exceptuando wp_options, wp_users y wp_usermeta. Una vez que la base de datos es vaciada, el plugin corría la función clear_uploads, esta acción derivaba en la eliminación de todo archivo y carpeta existente en wp-content/uploads.
¿Cuál es la solución?
En caso de que su sitio web utilice este plugin, se debe actualizar de inmediato el plugin HashThemes Demo Importer a la versión 1.1.4. Dicha versión cuenta con un parche de seguridad que protege al usuario de esta vulnerabilidad.
Recomendaciones
- Se debe tener siempre un backup de nuestro sitio web, y de todas las operaciones sensibles de una compañía, pese a que la vulnerabilidad haya sido parchada en la posteridad se puede presentar nuevas vulnerabilidades asociadas a otros plugins de WordPress o, incluso, en este mismo plugin.