Una vulnerabilidad de inyección SQL pone en riesgo a un millón de sitios de WordPress

Se ha descubierto una vulnerabilidad en un complemento de WordPress que permite que los cibercriminales inyecten códigos SQL en sitios web legítimos para robar las contraseñas y datos privados de sus usuarios.

La vulnerabilidad se encuentra en NextGEN Gallery, un complemento creado por desarrolladores ajenos a WordPress para crear galerías de imágenes. El complemento ha sido instalado en más de 1 millón de sitios web, que ahora corren riesgos de ataques si se encuentran bajo ciertas condiciones.

Los investigadores de Sucuri descubrieron que la falla del complemento permitía que una inyección SQL extrajera información privada de los equipos, incluyendo contraseñas, llaves secretas y registros de la base de datos del sitio web. La compañía calificó a ésta como una vulnerabilidad crítica y afirmó que es relativamente fácil de explotar.

“El problema radica en que NextGEN Gallery permite que usuarios sin las autorizaciones correspondientes ingresen una solicitud SQL preparada en WordPress; esto es en esencia lo mismo que añadir información a una solicitud SQL en bruto”, dijo Sucuri. “Esto permite a un atacante filtrar contraseñas con hash y llaves secretas de WordPress en ciertas configuraciones”.

Los investigadores explicaron que existen dos formas de explotar la vulnerabilidad: la primera requiere que los administradores de los sitios tengan activada la galería TagCloud en su sitio, que ayuda a los usuarios a navegar en las imágenes usando etiquetas.

Este ataque se basa en hacer pequeñas modificaciones a la dirección URL de la galería TagCloud del complemento NextGEN Basic para escribir un código en el lenguaje de programación conocido como $container_ids. Esto altera los parámetros de los enlaces de las etiquetas que se generan con TagCloud para que el atacante pueda inyectar solicitudes SQL que se ejecutan sin la aprobación de los administradores.

La segunda forma de explotar la vulnerabilidad necesita que el sitio web esté configurado de tal modo que permita que los usuarios envíen contenido – como entradas del blog – para ser revisado por un administrador antes de permitir su publicación en el sitio. De esta manera, el cibercriminal puede crear una cuenta en el sitio web y enviar una publicación que contenga los códigos alterados de NextGen Gallery para romper el código e insertar su propia solicitud SQL maliciosa.

El experto en seguridad Slavco Mihajloski dice que se puede usar un código como este para lanzar el ataque: [querycode1][any_text1]%1$%s[any_text2][querycode2]. La falla radica en la forma en que las funciones internas del complemento interpretan este código. Por ejemplo, convierten los signos %s a ‘%s’ y esto rompe la solicitud SQL del código en el que está inserto y abre el camino para que el atacante introduzca su propio código malicioso y lo ejecute.

La versión 2.1.79 del complemento soluciona el problema. La descripción de esta última actualización no hace referencia a la vulnerabilidad, por lo que no se sabe cuán conocida sea. De todos modos, Sucuri urgió a los administradores de sitios web a que instalen la última versión del complemento lo antes posible.

Fuentes

SC Magazine

Bleeping Computer

Ars Technica

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *