CCN-CERT AL 01/17 Explotación de la vulnerabilidad de WordPress en su Api Rest

 
  ALERTAS  
     
 

Explotación de la vulnerabilidad de WordPress en su Api Rest

Publicado el:
06/02/2017

El CCN-CERT desea advertir sobre la vulnerabilidad grave de WordPress que afecta a su versión 4.7.0 y 4.7.1, y que, en caso de explotación, podría permitir a usuarios no autenticados modificar el contenido de cualquier publicación o página dentro de este software de código abierto.

La vulnerabilidad de escalado de privilegios afecta al REST API de WordPress que se agregó recientemente y está habilitada de forma predeterminada en todos los sitios web que utilizan el WordPress 4.7.0 o 4.7.1. Por ello sistemas que se instalaron o actualizaron a estas versiones se encuentran en un estado de riesgo.

La vulnerabilidad realiza peticiones sobre la ruta “/wp-json/wp/v2/posts/” y en caso de éxito permite la modificación de las publicaciones del portal.

Para solventar el problema se ruega la actualización de WorPress a su última versión. En caso de no poder actualizar todo el sistema, se recomienda actualizar el módulo afectado, tal y como se indica en el siguiente enlace proporcionado por el equipo de desarrollo de este software:
https://github.com/WordPress/WordPress/commit/e357195ce303017d517aff944644a7a1232926f7

También se aconseja, como medidas adicionales, deshabilitar el uso de Api Rest en los portales de Wordpress si no se hace uso de ello y bloquear dichas peticiones en su firewall de aplicación a estas peticiones o/y url.

Más información:

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo.

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

---------------------
Claves PGP Públicas
---------------------
Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo. / Este enderezo de correo está a ser protexido dos robots de correo lixo. Precisa activar o JavaScript para velo.
--------------------
Fingerprint: 4E02 00AE B06B 9E9D 20FE D3FF 8CC9 CC95 949A 0AA6
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 
     
© 2017 Centro Criptológico Nacional, Argentona 20, 28023 MADRID
Ministerio de Defensa
CNI
CCN
CCN-CERT