Nivel de peligrosidad: ALTO

Madrid, 24 de agosto de 2020. - Se han publicado dos vulnerabilidades en un plugin ampliamente utilizado en el gestor de contenidos WordPress. Los fallos se han detectado en el plugin “Advanced Access Manager Plugin”, también conocido como AAM, el cual está diseñado para ayudar al usuario a controlar de manera personalizada todos los aspectos de su sitio web, otorgándole un control de acceso detallado y la capacidad de asignar múltiples roles. Según el repositorio oficial de plugins de WordPress, “Advanced Access Manager Plugin” dispone de más de 100.000 instalaciones activas a día de hoy.

La primera vulnerabilidad está ocasionada por un error de omisión de autorización autenticada en la opción Multiple Roles Support, en la que reside la funcionalidad de asignar roles a terceros y controlar sus accesos, de manera que cuando la función está habilitada, un atacante con privilegios bajos podría modificar los roles e incluso realizar una escalada de privilegios para así tomar el control del sitio web vulnerable a través del envío de una solicitud POST a wp-admin/profile.php con los parámetros de actualización del perfil y agregando a aam_user_roles[] el conjunto de parámetros del rol deseado. 

La base de datos del NIST hasta el momento no ha asignado ningún CVE para esta vulnerabilidad, ni ha recibido criticidad en base a la escala CVSSv3. No obstante, los investigadores han calificado el fallo con un score de 7.5. Hasta la fecha tampoco se tiene conocimiento de reportes sobre actividad dañina en la red.

Por su parte, la segunda vulnerabilidad se produce cuando el usuario inicia sesión a través de la API REST de WordPress, la cual está configurada para devolver una copia en formato json cuando se produce un inicio de sesión exitoso que aloja todos los metadatos relativos al usuario, lo que podría dejar expuesta esta información a usuarios con pocos privilegios. En combinación con la vulnerabilidad anterior, un posible atacante podría obtener información confidencial del usuario.

La base de datos del NIST hasta el momento no ha asignado ningún CVE para esta vulnerabilidad, ni ha recibido criticidad en base a la escala CVSSv3. No obstante, los investigadores han calificado el fallo con un score de 4.3. Hasta la fecha tampoco se tiene conocimiento de reportes sobre actividad dañina en la red.

Recursos afectados:

• Advanced Access Manager Plugin para WordPress versiones anteriores a la 6.6.2, sin incluir.

Solución a las vulnerabilidades:

Actualizar a la última versión de Advanced Access Manager Plugin disponible, es decir, la 6.6.2, a través del enlace que se ofrece a continuación:

• https://downloads.wordpress.org/plugin/advanced-accessmanager.6.6.2.zip 

Recomendaciones:

El CSIRT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar la actualización descrita.

Referencias:

• Wordfence: High-Severity Vulnerability Patched in Advanced Access Manager
• Wordfence: Episode 83: 100,000 Sites Impacted by Vulnerabilities in Advanced Access Manager