Falla en Wordpress podría permitir a un atacante tomar control completo del sitio web.



La falla a la cual llamaron "Authenticated arbitrary file deletion" fue descubierta por el equipo de investigación de RIPS Technologies hace mas de 7 meses, y fue informada al equipo de Seguridad de WordPress pero estos aún no toman acciones al respecto. Lamentablemente esta falla afecta a todas las versiones de WordPress incluyendo  la ultima versión disponible para su descarga la 4.9.6.

La vulnerabilidad reside en una de las funciones principales de Wordpres, que se ejecuta en segundo plano cuando un usuario elimina permanente una pre visualización de imagen en miniatura (Thumbnail) de una imagen cargada.

Los investigadores encontraron que la función de eliminación de miniaturas, no controla la entrada del usuario a la hora de eliminar la miniatura, lo que podría permitir a un usuario con privilegios limitados, poder eliminar cualquier archivo del sitio web, siendo que esa función solo le corresponde al administrador del sitio web, o a quien  administre el servidor.

Para poder explotar esta vulnerabilidad es completamente necesario poder tener algún grado de privilegio sobre el sitio web, por tal razón esta vulnerabilidad no está catalogada como critica. Pero solo basta saber quien tiene un nivel de privilegios sobre un sitio y por medio de ingeniería social o una buena campaña de phishing para robar las credenciales de alguien y poder realizar el ataque.


El ataque podría adicionalmente eliminar el archivo .htaccess, lo cual podría quitarle protecciones de seguridad al sitio web.

Además, borrar el archivo "wp-config.php" -uno de los archivos de configuración más importantes en la instalación de WordPress que contiene información de conexión de base de datos- podría obligar a todo el sitio web a volver a la pantalla de instalación, supuestamente permitiendo que el atacante reconfigure el sitio web desde el navegador y asumir su control por completo.

Sin embargo, debe tenerse en cuenta que dado que el atacante no puede leer directamente el contenido del archivo wp-config.php para conocer el "nombre de la base de datos", "nombre de usuario mysql" y su "contraseña", puede volver a configurar el sitio específico usando un servidor de base de datos remota bajo su control.