SeedProd ha parcheado una vulnerabilidad importante en el Creador de sitios web que tiene más de 900.000 instalaciones. Esta vulnerabilidad, presente en versiones hasta la 6.15.21 inclusive, plantea un riesgo de modificación de datos no autorizada en sitios de WordPress.
Detalles de la vulnerabilidad: falta de verificación de capacidad
La vulnerabilidad descubierta se denomina verificación de capacidad faltante dentro de la función ‘seedprod_lite_new_lpage’.
Las capacidades son acciones específicas que los usuarios o roles pueden realizar. Una verificación de capacidad es una característica de seguridad importante en WordPress para administrar permisos y controles de acceso. Determinan si un usuario tiene autoridad para realizar una acción específica.
Es similar a una verificación de funciones en el sentido de que una verificación de funciones verifica la función del usuario (como administrador, editor, etc.), mientras que una verificación de capacidades verifica si el usuario tiene permisos específicos. Una verificación de capacidad proporciona un control más granular sobre los permisos en comparación con una verificación de funciones.
La verificación de capacidad faltante permite a atacantes no autenticados modificar potencialmente el contenido de varias páginas creadas con el complemento, como las páginas de próxima publicación o de mantenimiento. La ausencia de esta característica de seguridad expone a los sitios web a riesgos de manipulación de datos.
Modificación de datos no autorizada
La modificación no autorizada de datos es un problema de seguridad grave. Surge de una falla en la que personas no autorizadas pueden alterar datos, lo que lleva a posibles vulnerabilidades. Se recomienda encarecidamente abordar este tipo de vulnerabilidad en el complemento Website Builder.
Gravedad e impacto: exposición de alto riesgo
La vulnerabilidad tiene una calificación de 8,2 en una escala de 1 a 10, con una calificación de gravedad clasificada como “Alta” según el Sistema de puntuación de vulnerabilidad común (CVSS). La calificación alta indica cuán grave es el impacto potencial.
Esta vulnerabilidad es tan nueva que actualmente no existe ninguna entrada en la Base de datos nacional de vulnerabilidades para el número CVE asignado CVE-2024-1072.
Sin embargo, los investigadores de seguridad de WordPress de Wordfence enfatizaron la gravedad de la vulnerabilidad de Website Builder by SeedProd:
“Esto hace posible que atacantes no autenticados cambien el contenido de las próximas páginas de mantenimiento, el inicio de sesión y las páginas 404 configuradas con el complemento”.
Recomendación para usuarios del complemento de creación de sitios web
El editor del Creador de sitios web de SeedProd respondió lanzando una versión actualizada, 6.15.22, que soluciona esta vulnerabilidad. La actualización incluye un nonce de seguridad para mitigar el riesgo, y se recomienda encarecidamente a los usuarios del complemento que actualicen inmediatamente para proteger su sitio web contra ataques.
Respecto al nonce, WordPress explica qué es:
Un nonce es un “número usado una vez” para ayudar a proteger las URL y los formularios de ciertos tipos de uso indebido, malicioso o de otro tipo.
…Ayudan a proteger contra varios tipos de ataques…”
Lea el anuncio de Wordfence:
Creador de sitios web de SeedProd: creador de temas, creador de páginas de destino, página próximamente, modo de mantenimiento <= 6.15.21: falta autorización a través de seedprod_lite_new_lpag
Lea el registro de cambios oficial de SeedProd
Imagen destacada de Shutterstock/Nikulina Tatiana