Una falla de día cero en un complemento de WordPress llamado BackupBuddy está siendo explotada activamente, según reveló la empresa de seguridad de WordPress, Wordfence.
«Esta vulnerabilidad permite a los usuarios no autenticados descargar archivos arbitrarios del sitio afectado, que pueden contener información confidencial», dijo.
BackupBuddy permite a los usuarios hacer una copia de seguridad de toda su instalación de WordPress desde el tablero, incluidos los archivos de temas, páginas, publicaciones, widgets, usuarios y archivos multimedia, entre otros.
Se estima que el complemento tiene alrededor de 140 000 instalaciones activas, con el error (CVE-2022-31474, puntaje CVSS: 7.5) que afecta a las versiones 8.5.8.0 a 8.7.4.1. Se solucionó en la versión 8.7.5 lanzada el 2 de septiembre de 2022.
El problema tiene sus raíces en la función llamada Copia de directorio local, que está diseñada para almacenar una copia local de las copias de seguridad. Según Wordfence, la vulnerabilidad es el resultado de una implementación insegura que permite que un atacante no autenticado descargue archivos arbitrarios en el servidor.
Se han ocultado más detalles sobre el error debido a su abuso activo en la naturaleza y su facilidad de explotación.
«Esta vulnerabilidad podría permitir que un atacante vea el contenido de cualquier archivo en su servidor que pueda ser leído por su instalación de WordPress», dijo el desarrollador del complemento, iThemes. «Esto podría contener el archivo wp-config.php de WordPress y, según la configuración de su servidor, archivos confidenciales como /etc/passwd».
Wordfence señaló que CVE-2022-31474 comenzó a apuntar el 26 de agosto de 2022 y que, mientras tanto, ha bloqueado casi cinco millones de ataques. La mayoría de los intrusos intentaron leer los siguientes archivos:
- /etc/contraseña
- /wp-config.php
- .mi.cnf
- .accesohash
Se recomienda a los usuarios del complemento BackupBuddy que actualicen a la última versión. Si los usuarios descubren que pueden haber sido comprometidos, se recomienda restablecer la contraseña de la base de datos, cambiar las sales de WordPress y rotar las claves API almacenadas en wp-config.php.
