El equipo de ciberseguridad de Wordfence Threat Intelligence reportó el hallazgo de una falla de inyección SQL ciega basada en el tiempo de WP Statistics, un popular plugin de WordPress con más de medio millón de instalaciones activas. Este plugin fue desarrollado por VeronaLabs y proporciona a los administradores de sitios web estadísticas completas sobre su plataforma.
Acorde al reporte, la falla puede ser explotada por actores de amenazas no autenticados para extraer información confidencial del sitio web en el que se ejecuta el plugin. Esta vulnerabilidad recibió un puntaje de 7.5/10 según el Common Vulnerability Scoring System (CVSS) y afecta a todas las versiones del plugin anteriores a v13.0.8.
Los administradores del sitio web pueden encontrar estadísticas detalladas sobre el tráfico en estas plataformas en el menú “Páginas” de WP Statistics, que genera una consulta SQL para la recopilación de estos datos. Los expertos encontraron que era posible acceder a la sección Páginas sin necesidad de privilegios de administrador.
“La sección “Páginas” estaba pensada solo para administradores, y no mostraba información a usuarios con privilegios reducidos; no obstante, era posible cargar el constructor de página enviando una solicitud a wp-admin/admin.php con el parámetro de página establecido en wp-admin/admin.php. En otras palabras, cualquier visitante de un sitio web afectado podría realizar esta consulta y acceder a información confidencial”, mencionan los expertos.
En este caso, la consulta SQL no empleó una declaración preparada, por lo que los actores de amenazas podrían manipular fácilmente el parámetro ID para evadir la función esc_sql para generar consultas arbitrarias que permitirían extraer información confidencial como contraseñas con hashing, direcciones email y claves de cifrado, entre otros datos.
“Los hackers maliciosos podrían extraer información de identificación personal de sitios web comerciales con fines maliciosos, por lo que es importante que los desarrolladores actualicen el software de inmediato”, concluye el reporte.
La falla ya ha sido reportada a los desarrolladores del plugin afectado y se espera que las versiones vulnerables sean corregidas completamente en las próximas semanas con el lanzamiento de WP Statistics v13.0.8. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).