Categories
Seguridad Web WordPress

¿Estamos seguros con la nueva versión de WordPress?

WordPress 2.2.2 todavía sigue siendo bastante inseguro, puesto que incluye varias vulnerabilidades reportadas anteriormente y otras que todavía no lo han sido.

La salida de la versión 2.2.2 de WordPress me sorprendió un poco porque no incluye las correcciones a algunos problemas de seguridad que fueron reportados hace más de un mes, si bien es cierto que éstos no son muy peligrosos*, no se me ocurre ningún motivo válido para no haberlos resuelto (si mi memoria no me falla, incluso envié parches con posibles alternativas de solución). Todo parece indicar que la única forma de hacer que los desarrolladores de WordPress le den más importancia a este tipo de reportes, es liberar exploits que hagan uso de éstas vulnerabilidades.

Regresando al tema inicial, lamentablemente la última versión incluye -- al igual que las anteriores y la que actualmente está en desarrollo -- muchos problemas de seguridad, que en su mayoría se deben al uso de cadenas (tipo querystring) para pasar parámetros a funciones y a la ausencia de consultas parametrizadas. Unos cuantos bugs son graves (Fig. 1) y otros de relativa peligrosidad*, pero con el antecedente previo, no sé si me vayan a hacer caso.

Exploit for a Remote SQL Injection Vulnerability in WordPress
Fig. 1: Resultados de un exploit para una
vulnerabilidad de inyección de SQL en WordPress 2.x
(no requiere autenticación).

Es muy probable que la vulnerabilidad que se muestra en la imagen, obligue a los desarrolladores de WordPress a liberar una nueva versión y agregar así, otra raya más al tigre. Por otro lado, mientras no termine de escribir el advisory y me desocupe un poco, no tengo intenciones de dar a conocer los detalles y el exploit para este problema de seguridad. 😉

* Esos bugs son bastante más graves en WordPress MU.

A petición de Alex, pongo a disposición parches generados a partir de la versión en desarrollo de WordPress.

19 replies on “¿Estamos seguros con la nueva versión de WordPress?”

Nueva versión de wordpress con antiguos fallos...

La salida de la versión 2.2.2 de WordPress me sorprendió un poco porque no incluye las correcciones a algunos problemas de seguridad que fueron reportados hace más de un mes, si bien es cierto que éstos no son muy peligrosos*, no se me ocurre ning...

Buen trabajo, felicidades por tu buen trabajo día a día y con esa velocidad.

Un saludo.

testeando...

Finalmente me actualicé a WordPress 2.2.2 y estoy probando si anda todo… quería solucionar de una puta vez el tema de la validación, pero cada vez me tira más errores en el sidebar. Además voy a ver si puedo hacer andar bien el tema de OpenI...

Hola alex, aqui regresando de mis vagaciones 🙂

Al rato chequo con mas detalle de la vulnerabilidad que hablas y como veo parece que nuevamente has puesto tus ojos bajo el manejo del protocolo XMLRPC (tendra algo que ver con algun proyecto personal que estas haciendo???), tendre que checar con mas calma y averiguar donde viene el error y si es asi tratare de apoyarte con tickets y soluciones en el trac de wordpress para que asi esto sea resuelto de la manera mas rapida posible..

Saludos

@Alex: Voy a generar nuevamente el parche a partir de la versión que tengo, en la tarde actualizo la entrada poniendo un enlace al mismo.

@g30rg3_x: Que bien por los que pueden tener vacaciones. 😀

En realidad el problema de seguridad no tiene que ver mucho con XMLRPC, sólo es la vía de acceso más adecuada para explotar la vulnerabilidad, que -- otra vez -- se debe al uso de "query strings" para pasar parámetros. Lamentablemente estos días estoy ocupado con otras cosas y no he tenido tiempo ni para escribir el advisory (programé el exploit y un "workaround" hace dos semanas). 🙂

Por otro lado, hay unos cuantos bugs más de XSS y SQL Injection, pero para explotarlos se necesitan usuarios válidos, éstos últimos no sé si vayan a corregirlos o no, puesto que la última vez reporté algo parecido dijeron que iban a ser solucionados en 2.2.2, pero no ha sido así 😕 (hasta donde sé, sólo hicieron los cambios en wordpress.com).

Saludos

hola alex de nuevo...

si ya veo, con los parches me diste un aire de donde va el asunto, por ahora no he tenido chance esos 7 dias me estan costando retomar el trabajo y ritmo diario (cuando uno se acostumbra a no hacer nada se vuelve muy dificil regresar y tratar de hacer el todo), no puedo decir muy bien si estan tus parches bien o no, siento que hay una jerarquia mas alta para resolver el problema pero por ahora pues como te digo aun no hallo tiempo para dedicarle a la busqueda y entendimiento y posibles repercusiones (aparte de las que señalas)..

lo de wordpress.com, pues solo me queda decirte que realmente wordpress.com es como un merge entre wordpress my y wordpress pero con sus propias optimizaciones hechas por los de auttomatic, hay muchas cosas que wordpress.com estan que jamas daran a luz en wordpress self-hosted, aunque se diga lo contrario yo siento que lo hacen mas que nada para conservar la base que se tiene y para evitar incompatibilidades...

Saludos

Siempre es un poco pesado volver luego de estar literalmente desconectado, pero con el pasar de los días imagino que retomarás tu ritmo de trabajo.

Los parches que puse corrigen otros problemas leves que fueron reportados meses atrás, la vulnerabilidad que aparece en la imagen puede ser explotada remotamente por cualquiera y me atrevería a decir que afecta a la gran mayoría de blogs que usan WordPress. Probablemente este fin de semana les envíe el reporte a los desarrolladores y el lunes publique el advisory, aunque todo depende de que tanto avance con la descripción del problema. 🙂

Saludos

Comments are closed.