Vulnerabilidad crítica en plugin de WordPress permite borrar base de datos

La vulnerabilidad está presente en el complemento (plugin) de WordPress conocido como WP Reset PRO, que al momento de esta publicación es utilizado por más de 400.000 sitios web. Los investigadores de seguridad de Patchstack (anteriormente conocido como WebARX) han descubierto esta vulnerabilidad de alta gravedad que permite a los usuarios autenticados borrar datos de sitios web vulnerables.

Según su reporte, un atacante puede aprovechar la vulnerabilidad para borrar toda la base de datos del sitio web simplemente visitando la página de inicio del sitio para iniciar el proceso de instalación de WordPress. El CEO de Patschstack, Oliver Sild, lo llamó una "vulnerabilidad destructiva" que puede causar principalmente problemas para los sitios web de comercio electrónico que ofrecen registro abierto.

Sobre la vulnerabilidad

Es importante destacar que cualquier usuario autenticado (con cualquier tipo de rol o privilegio) puede aprovechar esta vulnerabilidad, ya sea que esté autorizado o no, y borrar todas las tablas almacenadas en una base de datos de instalación de WordPress para reiniciar el proceso de instalación de WordPress.

Un atacante malicioso puede abusar de esta falla para crear una cuenta de Administrador en el sitio web, lo cual es necesario para completar el proceso de instalación. Además, el atacante puede explotar esta nueva cuenta de administrador para cargar complementos maliciosos en el sitio web o instalar puertas traseras, troyanos y llevar al total compromiso del servidor.

"El problema en este complemento se debe a la falta de autorización y verificación del token nonce. El complemento registra algunas acciones en el scope admin_action_*. En el caso de esta vulnerabilidad, es admin_action_wpr_delete_snapshot_tables", informa el reporte.

"Desafortunadamente, el scope de admin_action_* no realiza una verificación para determinar si el usuario está autorizado para realizar dicha acción, ni valida o verifica un token nonce para prevenir ataques CSRF".

¿Qué versiones se ven afectadas?

Esta vulnerabilidad está clasificada como CVE-2021-36909 y afecta las versiones premium del complemento WP Reset, incluidas todas las versiones lanzadas hasta la v.5.98. El complemento está diseñado para ayudar a los administradores a restablecer todo el sitio web o algunas partes del mismo para realizar una depuración y pruebas más rápidas y restaurar el sitio a partir de instantáneas integradas. Todo esto se hace con un solo clic del mouse.

La parte del código vulnerable se encuentra en la función delete_snapshot_tables:

Se puede ver que el parámetro de consulta uid se toma de la URL, mismo que es usado como prefijo de las tablas que deben eliminarse. Dado que se usa el operador LIKE, se puede pasar un parámetro de consulta como "%% wp" para eliminar todas las tablas con el prefijo wp.

Sild explicó que el error podría aprovecharse para acceder a otros sitios web en el mismo servidor y permitir movimientos laterales que llevarían a compromisos más serios.

"Si hay un sitio antiguo olvidado en un subdirectorio (vemos eso mucho) que tiene ese complemento instalado y el entorno del servidor está conectado, entonces esto permitiría acceder a otros sitios en el mismo entorno", señaló Sild.

El fallo de seguridad se corrigió en la versión WP Reset PRO 5.99. Por lo que para mitigar esta vulnerabilidad se recomienda actualizar el complemento a la última versión emitida por el fabricante