vulnerabilidad

Nuestro equipo de inteligencia de amenazas ha descubierto una vulnerabilidad día cero en un componente del Plugin de WordPress “Elementor”, el cual, puede ser utilizado para tomar control completo sobre el sitio Web y sobre el servidor.

Elementor es un popular site builder para WordPress el cual permite construir sitios web de manera simple y rápida sin necesidad de conocimientos en desarrollo empleando un enfoque de diseño visual a través de constructores tipo bloques. La vulnerabilidad detectada por nuestro Red Team es, específicamente, sobre un widget para Elementor: Dynamic OOO Plugin. Este plugins permite insertar código PHP directamente desde el frontend del sitio WordPress. Es decir,  se trata de un widgets el cual provee mayor control sobre Elementor mediante strings PHP propios insertados directamente sobre el backend de Elementor.

La vulnerabilidad encontrada se basa en una incorrecta validación de privilegios y el poco control sobre la ejecución del Snippet PHP Raw provisto por el plugin “Elementor”. Este hallazgo ha sido informado al equipo de Elementor y al desarrollador del widget afectado Dynamic OOO. desde Mitre se ha asignado el CVE-2020-26596 catalogado como Incorrect Access Control.

(Catalogación CVSS CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H – SCORE: 9.9 CRITICO).

Detalles de los componentes afectados:

  • WordPress <= 5.5.1
  • Elementor <= 3.0.5

La vulnerabilidad funciona de la siguiente manera:

  • Un usuario con privilegios de “editor” sobre WordPress puede modificar un sitio o contenido del sitio usando “Elementor” y agregar un snippet de Php Raw, empleando el widget Dynamic OOO:

  • El plugin valida incorrectamente el privilegio del usuario, permitiéndole a un usuario no administrador hacer uso del Snippet:

  • Utilizando PHP el usuario puede inyectar una Shell remota, como en el siguiente caso:

  • Posteriormente, una vez guardada la Shell, el usuario puede hacer uso de ella para navegar y controlar el servidor:

    • Así mismo, usando una Shell simple, el usuario puede ejecutar comandos en el sistema operativo utilizando los privilegios del servicio “Apache”

  • Utilizando los privilegios anteriores, es posible obtener las credenciales de acceso que utiliza wodpress en la Base de Datos, inyectando usuarios superadministradores:

  • Finalmente, con el usuario maliciosamente creado es posible obtener acceso completo a WordPress:

La vulnerabilidad fue reportada al fabricante del widget, Dynamic OOO, quien comprometió una corrección en el nivel de privilegios, accesos y ejecución para la próxima versión.

 

UPDATE: El ultimo ralease de Dynamic OOO ha corregido este hallazgo.

Si estas usando Elementor y usas el widget Dynamic OOO, te recomendamos revisar los privilegios de accesos de los usuarios y si es posible restringirlos totalmente hasta que el fabricante solucione la vulnerabilidad (actualiza ahora!). De no ser posible, sugerimos eliminar el “widget”.

Si tiene dudas o consulta con respecto con sus sitios Web en WordPress por favor comuníquese con nuestro equipo para coordinar una revisión a soporte@compunetgroup.net